Upload
vantruc
View
238
Download
0
Embed Size (px)
Citation preview
Virtualisatie en IT-auditing Scriptie ter afronding van de postgraduate IT-audit opleiding aan de VU
Definitieve versie
Auteur: M.J.Montero Teamnummer: 722 VU begeleider (extern): dr. Rene Matthijsse Bedrijfscoach (intern): ir. Ton Stevenhagen RE Afstudeerdatum: 4 juni 2007
2
If it’s there and you can see it – It’s Real!
If it’s not there and you can’t see it – It’s Gone!
If it’s there and you can’t see it – It’s Transparent!
If it’s not there and you can see it - It’s Virtual!
(Roy Wilks, 1983)
3
Voorwoord Het schrijven van een scriptie is sinds kort een verplicht onderdeel van het curriculum van de
postgraduate IT-audit opleiding aan de Vrije Universiteit in Amsterdam. In het begin was het lastig om een
relevant onderwerp te vinden dat een toegevoegde waarde heeft voor het vakgebied en tegelijkertijd niet
technisch is. Uiteindelijk heb ik virtualisatie als onderwerp gekozen.
Ik wil mijn VU begeleider Rene Matthijsse bedanken voor zijn input. Ook wil ik mijn bedrijfscoach Ton
Stevenhagen en de overige collega’s van de EDP Audit Pool en van het ZBO bedanken voor hun tijd en
energie.
Niet minder belangrijk zijn de mensen die mij dagelijks van dichtbij moeten meemaken, mijn vriendin en
mijn familie. Zonder de nodige steun, begrip en geduld is het volgen van een studie naast het werk bijna
onmogelijk. Ik heb de afgelopen drie collegejaren een leuke en leerzame periode gehad op de VU.
Daarom raad ik een ieder aan, die van plan is een studie IT-audit te gaan volgen, om de VU te
overwegen.
Het rest mij niets anders dan u veel plezier te wensen met het lezen van mijn scriptie, met als onderwerp
“Virtualisatie en IT-auditing”.
Angelo Montero Den Haag Mei 2007
4
Inhoudsopgave
1 Inleiding ..................................................................................................................................................................... 6 1.1 Methodologie .................................................................................................................................................... 9 1.2 Doelgroep........................................................................................................................................................ 10 1.3 Opbouw ........................................................................................................................................................... 10
2 Virtualisatie .............................................................................................................................................................. 11 2.1 Inleiding en definitie ....................................................................................................................................... 11 2.2 Virtualisatie vanuit meerdere perspectieven .............................................................................................. 12 2.3 Toepassingen en voordelen van virtualisatie............................................................................................. 15 2.4 Mogelijke valkuilen bij de toepassing van virtualisatie ............................................................................. 19 2.5 Onjuist gebruik en misbruik van virtualisatie.............................................................................................. 19
3 IT-Management en IT-auditing............................................................................................................................... 22 3.1 Inleiding ........................................................................................................................................................... 22 3.2 IT-governance en IT-management.............................................................................................................. 22 3.3 IT-audit............................................................................................................................................................. 30
4 Praktijkcasus ............................................................................................................................................................ 35 4.1 Inleiding ........................................................................................................................................................... 35 4.2 Organisatie achtergrond ............................................................................................................................... 35 4.3 Het IT-beleid van het ZBO ............................................................................................................................ 36 4.4 Aanleiding tot de implementatie van virtualisatie ...................................................................................... 37 4.5 Besluitvorming ................................................................................................................................................ 37 4.6 Voor- en nadelen............................................................................................................................................ 40 4.7 Beheerorganisatie.......................................................................................................................................... 42
5 Toepassing van Cobit op de praktijkcasus............................................................................................................... 44 5.1 Inleiding ........................................................................................................................................................... 44 5.2 Werkwijze ........................................................................................................................................................ 44 5.3 Beoordeling van de opzet ............................................................................................................................. 45 5.4 Conclusie......................................................................................................................................................... 46
6 Virtualisatiemanagementcyclus: model en uitwerking ........................................................................................... 48 6.1 Inleiding ........................................................................................................................................................... 48 6.2 Uitgangspunten .............................................................................................................................................. 48 6.3 Virtualisatiemanagementcyclus ................................................................................................................... 48 6.4 Uitwerking virtualisatiemanagementcyclus ................................................................................................ 51 6.5 Afsluiting .......................................................................................................................................................... 57
7 Conclusie en reflectie ............................................................................................................................................... 58
5
Geraadpleegde bronnen .............................................................................................................................................. 61 Bijlage A1 De vijf componenten van IT-governance ................................................................................................. 63 Bijlage A2 Beschrijvingskader IT-governance bij ministeries .................................................................................. 64 Bijlage B1 Business goals gekoppeld aan IT goals en kwaliteitsaspecten ................................................................ 67 Bijlage B2 IT Goals gekoppeld aan de Cobit processen ............................................................................................ 68 Bijlage B3 De Cobit processen uit bijlage B2 uitgeschreven..................................................................................... 69
6
1 Inleiding Volgens een recent onderzoek van Ziff Davis Media [1] heeft ruim 80% van de ondervraagde IT-managers
virtualisatie in de IT-omgeving al geïmplementeerd of zijn ze van plan dit binnenkort te doen. Het
onderzoeksbureau Gartner [2] noemde virtualisatie een “megatrend” en het beste hulpmiddel dat
bedrijven momenteel hebben om efficiëntieverbetering en serveroptimalisatie te realiseren. Volgens de
consulting director van IDC [3] wordt 2007 het jaar van de doorbraak van virtualisatie. Naast deze drie
berichten zijn nog veel voorbeelden te noemen van artikelen en uitspraken die wekelijks in IT-bladen
verschijnen. Virtualisatie is dus hot!
Wat is virtualisatie eigenlijk? Virtualisatie houdt in dat er op één fysieke server meerdere servers
softwarematig gesimuleerd worden. Op elk van deze gesimuleerde machines, zogeheten gasten of
virtuele machines, kan in principe een apart besturingssysteem draaien. Het woord “virtueel” wordt
gebruikt omdat het lijkt alsof alle servers fysieke servers zijn, terwijl er in feite sprake is van één fysieke
machine waarop één of meerdere logische servers draaien. Deze vorm van consolidatie brengt veel
voordelen met zich mee. In hoofdstuk 2 wordt dieper ingegaan op deze voordelen.
Uit onderzoek Ziff Davis Media [1] blijkt dat er verscheidene redenen bestaan bij IT-managers om
virtualisatie te gaan toepassen. De belangrijkste reden is efficiëntie. In deze scriptie is sprake van
efficiëntie als dezelfde doelen met minder kosten en/of inspanning gerealiseerd kunnen worden door een
groep virtuele servers ten opzichte van een groep fysiek servers. Hierbij worden dus de kosten en baten
van een groep fysieke servers vergeleken met een groep virtuele servers.
Hieronder is een overzicht van de redenen waarom organisaties besluiten gebruik te gaan maken van
virtualisatie [1]:
Reden % Lagere hardwarekosten 43 Verminderen van onderhoudskosten 32 Gebruikspercentage servers is te laag 30 Lagere kosten voor serverbeheer 27 Vereenvoudigen van softwareonderhoud 25 Verminderen van storingstijd 20 Flexibiliteit in behoud van bestaande systemen 19 Verbeteren van reactietijd systemen 17 Vereenvoudigen van opslag- en herstelproces 17 Verminderen van wildgroei servers 16 Lagere kosten van systeemsoftware 16 Vereenvoudigen van beveiligingskwesties 13 Verminderen van kosten testomgevingen 3
Tabel 1. Redenen om virtualisatie te implementeren volgens het onderzoek van Ziff Davis Media.
7
Efficiëntie betekent in feite een beoogd resultaat bereiken met zo laag mogelijke kosten. Als we
bijvoorbeeld de toepassing server consolidatie1 in beschouwing nemen zijn de volgende
efficiëntievoordelen te behalen:
1. Door gebruik te maken van slechts één fysieke server wordt het aantal benodigde fysieke servers
gereduceerd terwijl (afhankelijk van de processorcapaciteit en de hoeveelheid intern geheugen)
nagenoeg hetzelfde resultaat wordt bereikt;
2. Doordat er minder fysieke servers zijn, worden beheer en onderhoud van de fysieke servers
goedkoper;
3. Serverruimte en stroomvoorzieningen zijn beperkter dan wanneer meerdere fysieke machines worden
gebruikt.
De belangrijkste (beoogde) voordelen van virtualisatie zijn kostenreductie en flexibiliteit. Voor de IT-
manager zijn deze voordelen zeker aantrekkelijk. Maar naast kosten dient de IT-manager ook rekening te
houden met andere aspecten. De aspecten vertrouwelijkheid, integriteit en beschikbaarheid zijn van
belang. De IT-manager dient zich bewust te zijn van mogelijke risico’s om de nodige maatregelen te
kunnen treffen. IT-auditors zijn vanwege hun expertise op het gebied van IT, advies en attest de
aangewezen personen om de IT-manager van dienst te kunnen zijn tijdens het hele virtualisatietraject.
Bij de invoering van een nieuwe technologie dient een aantal zaken in ogenschouw te worden genomen.
De keuze om virtualisatie toe te passen moet in lijn zijn met de bedrijfsdoelstellingen. Verder dient
rekening te worden gehouden met de impact die de verandering met zich meebrengt: De toepassing van
virtualisatie kan invloed hebben op bestaande IT-systemen en bedrijfsprocessen. De IT-manager moet tenminste de belangrijkste risico’s onderkennen en weten hoe met deze risico’s om te gaan. De getroffen
maatregelen ter beperking van deze risico’s dienen regelmatig getoetst en verbeterd te worden.
Er zijn verschillende generieke modellen ten behoeve van IT-beheersing. De IT-auditor kan bij opdrachten
die gerelateerd zijn aan virtualisatie gebruik maken van deze modellen. De algemene verwachting is dat
de toepassing van virtualisatie in IT-omgevingen de komende jaren alleen maar zal toenemen. IT-auditors
moeten meegaan met deze ontwikkelingen en voorbereid zijn op toekomstige ontwikkelingen. Deze
scriptie zal daarom gericht zijn op de aandachtspunten die van belang zijn in een omgeving waar het
concept van virtualisatie wordt geïmplementeerd.
1 Consolidatie is het samenvoegen van meerdere kleine servers tot één grote server met het doel meer efficiëntie te
behalen.
8
Binnen de Rijksoverheid zijn diensten ook bezig met de toepassing van virtualisatie. Sommige
departementen maken al gebruik van virtualisatie, terwijl andere plannen hebben om dit te gaan invoeren.
Toepassingen die op dit moment bekend zijn binnen de Rijksoverheid zijn Uitwijk, High-Availability en de
virtuele OTAP-omgeving.
Het doel van deze scriptie is om:
1. inzicht te geven in het concept van virtualisatie en in de mogelijke risico’s die het gebruik van deze
technologie met zich meebrengt;
2. een raamwerk aan te reiken op basis waarvan beheersmaatregelen getroffen kunnen worden bij de
invoering van virtualisatie.
Probleemstelling
De centrale vraag van deze scriptie luidt:
Welke aandachtspunten zijn bij de toepassing van virtualisatie vanuit IT- auditperspectief relevant
voor het IT-management?
Om deze vraag te beantwoorden heeft nadere uitsplitsing plaatsgevonden in de deelvragen in tabel 2. Bij
elke deelvraag staat aangegeven in welk hoofdstuk deze wordt beantwoord.
Deelvragen Hoofdstuk 1 Wat is het principe van virtualisatie en wat zijn de meest voor de
hand liggende toepassingen van virtualisatie? 2
2 Wat zijn de meest gangbare modellen ten behoeve van IT-governance en IT-management?
3
3 Wat is de huidige praktijk binnen de Rijksoverheid? 4 4 In hoeverre voldoen implementatietrajecten aan bestaande
modellen? 5
5 Wat zijn aandachtspunten en de relevante kwaliteitsaspecten bij de toepassing van virtualisatie?
6
Tabel 2. Deelonderzoeksvragen en de bijbehorende hoofdstukken waarin deze beantwoord worden.
Afbakening
Virtualisatie behoort eigenlijk tot het domein van IT-infrastructuur en is dusdanig een technisch
auditobject. Desondanks wordt deze scriptie geschreven vanuit de optiek van een “allround IT-auditor”,
waarbij de nadruk niet ligt op de technische implementatie c.q. inrichting van virtualisatie. Wel centraal
staat het IT-audit proces rondom virtualisatie. Met name op het gebied van operationeel beheer speelt
virtualisatie een belangrijke rol.
9
1.1 Methodologie
Eerst is een literatuuronderzoek uitgevoerd om het concept van virtualisatie te begrijpen. Hierbij is gebruik
gemaakt van presentaties van seminars, boeken, tijdschriften en internetsites. Aan de geraadpleegde
bronnen zijn de definitie en het concept van de virtualisatietechniek ontleend en uitgewerkt zonder al te
technische termen te gebruiken. Ook is nagegaan voor welke toepassingen virtualisatie het meest
geschikt is. Daarnaast is een inventarisatie gedaan naar de voordelen, mogelijke valkuilen en misbruik
van deze techniek.
Vervolgens is voor dit onderwerp relevante theorie toegelicht. De basisprincipes op het gebied van IT-
management en IT-audit worden behandeld. De positie van virtualisatie binnen de IT-organisatie wordt
eerst geschetst. Vanuit het IT-governance (strategisch) oogpunt wordt daarna naar een lager niveau
(tactisch en operationeel) gedaald en ingezoomd op IT-management. De relatie met IT-audit zal voorts
concreter worden gemaakt en toegelicht. Om de stap te maken naar een generiek virtualisatie raamwerk
wordt vervolgens Cobit 4.0 besproken.
Om de relatie tussen theorie en praktijk duidelijk te maken en het concept van virtualisatie tastbaarder te
maken wordt een praktijkcasus van een ZBO beschreven. Hierbij wordt ingegaan op de overwegingen die
hebben geleid tot de invoering van virtualisatie bij deze organisatie. De casus zal een
implementatievoorbeeld bevatten waarbij virtualisatie gebruikt wordt voor Uitwijk en de OTAP-omgeving.
In de praktijkcasus zal worden gezocht naar aandachtspunten die van belang zijn bij het uitvoeren van
een IT-audit naar de inrichting en het beheer van een dergelijke omgeving. In overleg met het ZBO is
gebruik gemaakt van hun ontwerp documentatie. Ook is er een interview gehouden met de IT-manager en
een technisch specialist.
Cobit is een breed generiek raamwerk en zou, naar mijn verwachting, in principe een virtualisatie casus
moeten kunnen afdekken. Om na te gaan in hoeverre tijdens het virtualisatietraject aandacht is besteed
aan relevante IT-processen, is de opzet van de casus getoetst aan een aantal Cobit processen. De
geselecteerde IT-processen komen voort uit de uitwerking van Cobit in de vorige stap. Er wordt een
beperkt aantal IT-processen gebruikt voor deze “desktopanalyse”.
In de laatste fase wordt al de verzamelde informatie in de vorige fasen c.q. hoofdstukken samengevoegd
om te komen tot een algemeen virtualisatiemodel. Eerst wordt de virtualisatiemanagementcyclus
gedefinieerd. Vervolgens zullen per fase van de virtualisatiemanagementcyclus de relevante virtualisatie
eigenschappen worden ingevuld. In de laatste stap zullen de aandachtspunten worden uitgewerkt. Ook de
kwaliteitsaspecten die van toepassing zijn zullen worden vermeld.
10
Ten slotte worden conclusies getrokken en een reflectie gegeven betreffende dit onderwerp vanuit de
beleving van de auteur. De conclusie zal een antwoord geven op de hoofdvraag zoals hierboven
geformuleerd: Welke aandachtspunten zijn bij de toepassing van virtualisatie vanuit IT-auditperspectief
relevant voor het IT-management?
1.2 Doelgroep
Aan de Vrije Universiteit worden de studenten opgeleid tot “allround IT-auditor”. De scriptie dient een
actueel en innovatief onderwerp te behandelen en een toegevoegde waarde te hebben voor het
vakgebied IT-audit. Daarom wordt deze scriptie voor een brede doelgroep geschreven. Deze doelgroep
bestaat uit o.a. (IT-) managers, (IT-) auditors en overige IT-functionarissen.
1.3 Opbouw
Na het inleidende hoofdstuk 1 zal het concept van virtualisatie uitgewerkt worden in hoofdstuk 2. De
principes van IT-management en IT-auditing worden behandeld in hoofdstuk 3. Om de relatie met de
praktijk te leggen wordt in hoofdstuk 4 aandacht besteed aan een praktijkcasus. In hoofdstuk 5 wordt de
praktijkcasus getoetst aan een bestaand raamwerk. Hoofdstuk 6 beschrijft de opzet en uitwerking van een
algemeen toepasbaar virtualisatiemodel. In hoofdstuk 7 worden de deelvragen en de probleemstelling
beantwoord. Ook zal ik aandacht besteden aan een stuk reflectie.
11
2 Virtualisatie 2.1 Inleiding en definitie
Om de rode draad van het verhaal te kunnen volgen is het belangrijk dat eerst het concept van
virtualisatie behandeld wordt. In dit hoofdstuk zal het begrip virtualisatie op een voor de geïnteresseerde
leek begrijpbare manier worden toegelicht. Ook wordt aandacht besteed aan de meest voorkomende
toepassingen en voordelen, mogelijke knelpunten en het bewust of onbewust verkeerd gebruik van
virtualisatie.
Afbakening virtualisatie
Virtualisatie is een breed begrip. Er zijn meerdere vormen en gebieden die gerelateerd worden aan
virtualisatie. In de datacommunicatie bijvoorbeeld wordt al lange tijd gebruik gemaakt van Virtual Private
Network (VPN) en Virtual Local Area Network (VLAN). In de praktijk komen de volgende vormen van
virtualisatie voor [5], [6], [7]:
- Systeem virtualisatie: deze vorm wordt ook aangeduid als server of desktop virtualisatie;
- OS virtualisatie: deze vorm heeft betrekking op het (hoofd)besturingssysteem;
- CPU virtualisatie: deze vorm heeft betrekking op de processor van de server;
- Applicatie virtualisatie: deze vorm heeft betrekking op het installeren en gebruik maken van
applicaties;
- Opslag virtualisatie: deze vorm komt voor bij opslagnetwerken ook wel Storage Area Network (SAN)
genoemd.
Een uitputtende behandeling van al deze vormen valt buiten de scope van deze scriptie. Gekozen is om
systeem virtualisatie, in het bijzonder server virtualisatie, in deze scriptie te behandelen. Volgens
gerenommeerde IT tijdschriften bestaat de verwachting dat nagenoeg alle IT-managers de komende jaren
zullen gaan investeren in deze vorm van virtualisatie.
Definitie van virtualisatie
Er bestaat geen standaard voor de virtualisatietechniek en “virtualisatie” wordt door diverse partijen
verschillend gedefinieerd, waarbij in de meeste gevallen wel sprake is van overeenkomsten. Onderstaand
volgt een aantal definities met betrekking tot de techniek van server virtualisatie.
12
Virtualization allows you to run multiple applications and operating systems independently on a single
server. [8]
Microsoft virtualization solutions enable IT managers to run multiple operating systems, applications, and
middleware on a single physical machine, allowing customers to cut costs and response time without
sacrificing resources. [9]
Virtualisatie is het samenbrengen van fysiek of functioneel gescheiden ICT-voorzieningen (opslag, server
en processor) om processen beter te beheersen of te simplificeren. [10]
HP Virtualisation Solutions enable a business to pool and share IT resources so utilization is optimized
and supply automatically meets demand. [11]
Virtualization refers to the pooling of IT resources in a way that masks the physical nature and boundaries
of those resources from resource users. In more concrete terms, virtualization is the decoupling of
software from hardware. [12]
Virtualisatie komt neer op het simuleren van computeronderdelen, waardoor het voor andere computers of
programma’s lijkt alsof ze te maken hebben met een ‘echt’ of ‘gewoon’ systeem. [13]
Virtualisation technology is a way of making a physical computer to function as if it were two or more
computers, each nonphysical or “virtualised” computer is provided with the same basic architecture as that
of a generic physical computer. [14]
Virtualisation is the logical representation of physical systems across the entire enterprise. [15]
Conclusie: Virtualisatie is de techniek die het mogelijk maakt dat besturingssystemen met bijbehorende
applicaties softwarematig draaien op één fysieke computer, elk in hun eigen afgeschermde omgeving,
met eigen resources en onafhankelijk van elkaar. Voor de eindgebruiker lijkt het alsof een softwarematige
computer een echte fysieke machine is, terwijl dat feitelijk alleen in virtuele zin zo is.
2.2 Virtualisatie vanuit meerdere perspectieven
Op zich is de techniek van virtualisatie niet nieuw. Met name IBM [16] maakt al lange tijd gebruik van deze
techniek in de vorm “logical partitions”. Logical partitions staat voor logische partities, oftewel het
13
opsplitsen van een volledige computer in meerdere logische delen, waardoor het voor de gebruiker lijkt
alsof er sprake is van meerdere onafhankelijke besturingssystemen. Deze delen worden partities
genoemd. Tot voor kort konden alleen degenen die de beschikking hadden over een (duur) mainframe
gebruik maken van dit principe. Tegenwoordig zijn “conventionele” x86 servers zodanig in kracht en
mogelijkheden gegroeid dat virtualisatie ook op deze hardware aantrekkelijk is. Dit geldt zelfs voor
personal computers. Daarnaast zijn er meerdere leveranciers die zich bezighouden met virtualisatie
producten, de één volwassener dan de ander. In de volgende paragraaf wordt op hoofdlijnen de techniek
van virtualisatie uitgelegd.
Technisch perspectief
In de huidige traditionele situatie beschikt iedere medewerker over één werkstation waarop alle
applicaties draaien2.
Bij server (en desktop) virtualisatie wordt op het bestaande besturingssysteem -de zogeheten Host- een
extra softwarelaag -Virtualisatie Software oftewel Virtual Machine Monitor (VMM)- geïnstalleerd.
Vervolgens worden op deze VMM-laag virtuele machines (VM’s) gemaakt. Op deze VM’s wordt
vervolgens naar keuze een besturingssysteem -een zogeheten Guest- geïnstalleerd [13], [14], [17], [18].
Het principe is geïllustreerd in figuur 1. De hardwarevoorzieningen worden verdeeld onder de VM’s. Het
betreft de harde schijf, de netwerkkaart, de CPU en het RAM geheugen.
Figuur 1. Principe van virtualisatie op een server met een voorgeïnstalleerd besturingssysteem.
2 High secure omgevingen zijn een uitzondering hierop, deze hebben meestal meerdere machines die op aparte
fysieke netwerken zijn aangesloten
14
Een andere variant die meer geschikt is voor high performance omgevingen maakt geen gebruik van een
“Host besturingssysteem”. De VMM heeft een eigen, uitgekleed, besturingssysteem. Zie figuur 2.
Figuur 2. Principe van virtualisatie op een server zonder een voorgeïnstalleerd besturingssysteem.
Elke VM beschikt over een eigen deel van de fysieke harde schijf. Als een VM wegvalt of last heeft van
kwaadaardige codes zoals virussen heeft dit geen gevolg voor de overige VM's. Alle VM's zijn logisch van
elkaar afgeschermd en elk kan worden gezien als een aparte omgeving. Een VM is op zich een
dedicated3 server. Elke VM met bijbehorende applicatie kan als een “appliance”4 gezien worden. Dit
betekent dat elke VM als een eenheid verplaatst kan worden op verschillende platformen, en dat is weer
een gevolg van het feit dat elk VM het formaat van een bestand heeft.
Bedrijfseconomisch perspectief
Voor de IT-manager is het van belang dat IT-systemen bedrijfsvoordelen opleveren. IT-investeringen
leveren op twee manieren waarde op voor de organisatie. Ten eerste is er een verbetering van bestaande
bedrijfsprocessen en/of de creatie van geheel nieuwe bedrijfsprocessen, waarvan het nettoresultaat een
verhoging van de efficiëntie van de onderneming is. Ten tweede wordt de snelheid van besluitvorming
verhoogd en de nauwkeurigheid hiervan verbeterd. De verbeteringen in de bedrijfsprocessen en de
besluitvorming zijn te meten door middel van kapitaalbudgetteringsmethoden. [19]
De implementatie van virtualisatie vanuit bedrijfseconomisch perspectief betekent voor de IT-managers
3 Een dedicated server is een server met een primaire taak zoals Exchange mail of SAP applicatie. 4 Appliance is de naam voor de combinatie van hardware en bijbehorende programmatuur die als één geheel wordt
verkocht en die out-of-the-box te gebruiken is zonder eerst de software op de hardware te installeren. Een sprekend
voorbeeld is een mobiel telefoontoestel.
15
het verhogen van het rendement van de IT investeringen (Return on Investment, ROI). De formule om de
ROI te berekenen is het totaal aan opbrengst gerealiseerd over een periode gedeeld door het totaal aan
investeringskosten over diezelfde periode. Om de ROI te berekenen moet de Total Cost of Ownership
(TCO) bekend zijn.
De TCO bestaat uit alle kosten die gepaard gaan met het aanschaffen, gebruiken, beheren en buiten
gebruik stellen van informatietechnologie door een organisatie gedurende de levenscyclus van de
producten [4]. De besparing op TCO heeft betrekking op de volgende componenten [20]:
Besparing op hardware kosten
- Minder fysieke servers in het serverpark nodig.
Besparing operationele ICT kosten
- Reductie van stroom- en koelingskosten;
- Reductie van huurkosten in een datacenterruimte;
- Minder netwerkkosten door het gebruik van virtuele netwerkapparatuur;
- Beheerders hebben minder tijd nodig om servers op te zetten, configureren en migreren.
Besparing van downtime kosten
- Reductie van geplande downtime;
- Reductie van ongeplande downtime.
Mits beheerst geïmplementeerd, zijn voor virtualisatie geen extra kosten te bedenken die kunnen leiden
tot een negatieve ROI. De conclusie is dat door het gebruik van virtualisatie de TCO verlaagd kan worden
en hierdoor, bij overigens gelijkblijvende omstandigheden, de ROI verhoogd wordt. Dit leidt tot meer
efficiëntie in de ICT organisatie. Dit is de reden waarom uit bedrijfseconomisch oogpunt de implementatie
van virtualisatie aantrekkelijk is voor elke IT-manager.
2.3 Toepassingen en voordelen van virtualisatie
Virtualisatie kan in principe overal toegepast worden waar ook normale servers en desktops gebruikt
worden. De inzet van virtualisatie is aantrekkelijk zolang rekening wordt gehouden met de voordelen en
mogelijke knelpunten die later in dit hoofdstuk aan de orde komen. Hieronder volgt een (niet uitpuntend)
overzicht van de meest voorkomende toepassingen van virtualisatie [7], [14], [17], [21], [22].
16
Server consolidatie
De huidige praktijk is om elke applicatie op een aparte server te installeren. Deze praktijk wordt gevolgd
om voor de kritieke applicaties hoge mate van beschikbaarheid te realiseren. Het installeren van twee
applicaties op dezelfde server wordt afgeraden vanwege de kans op conflicten en wederzijdse
beïnvloeding en afhankelijkheid door het gemeenschappelijke gebruik van hardware. De oplossing is een
“dedicated server” per applicatie, bijvoorbeeld Exchange mail. Het gevolg is dat dure hardware
aangeschaft wordt die niet optimaal benut wordt omdat er slechts één applicatie op draait. Door gebruik te
maken van virtualisatie kunnen alle applicaties middels dedicated VM’s geïnstalleerd worden op één
fysieke machine. De voordelen die hiermee behaald worden zijn divers: minder ruimte nodig, minder
koeling en onderhoud hiervan nodig, minder elektriciteitverbruik en minder hardware onderhoud.
Scheiding van omgevingen
In de praktijk komt het vaak voor dat naast productieservers ook test- en ontwikkelservers aangeschaft
dienen te worden. Dit om te voldoen aan de algemeen geaccepteerde eis van gescheiden omgevingen
voor ontwikkelen, testen, accepteren en productie. Het onderhouden van meerdere servers kost tijd,
arbeid en geld.
Door consolidatie van deze verschillende omgevingen met behulp van virtualisatie kan een aanzienlijke
besparing bereikt worden. De ontwikkel-, test-, acceptatie- en productieomgeving kunnen elk in een
virtuele machine actief zijn zonder elkaar te beïnvloeden. En daarmee blijft de gewenste scheiding van
omgevingen gehandhaafd. Door de strikte afscherming door middel van virtualisatie wordt een hoger
beveiligingsniveau bereikt. Ook voor mensen die in meerdere omgevingen werken met verschillende
beveiligingsniveaus kan gebruik worden gemaakt van virtualisatie. In dat geval zijn er op een laptop of
desktop meerdere virtuele machines geïnstalleerd, elk geschikt voor een bepaalde omgeving,
bijvoorbeeld kantoor en werken op afstand. Naast de eerder genoemde consolidatievoordelen biedt
virtualisatie een hoger beveiligingsniveau door de scheiding tussen verschillende virtuele machines en
ook applicaties. Vergeleken met de oude situatie met meerdere applicaties op één fysieke machine,
betekent de afscherming door middel van virtualisatie een verhoogd beschikbaarheidsniveau.
Wanneer kopieën van servers nodig zijn voor de testomgeving kan op eenvoudige wijze een kopie
worden gemaakt van de productieomgeving en hoeft niet een complete fysieke server opgebouwd en
ingericht te worden. Door het wegvallen van de noodzaak tot aanschaf van extra hardware en door het
snel kunnen “nabouwen” van de productieomgeving kan efficiënter gewerkt worden. Wel is het
noodzakelijk om procedures te hebben voor het proces van “snel even kopiëren vanuit de productie- naar
de testomgeving”.
17
Ontwikkel-, test-, acceptatie- en productie (OTAP)cyclus
De OTAP-omgeving is essentieel voor IT-organisaties vanaf een zekere omvang. Er dienen voldoende
representatieve servers beschikbaar te zijn om tests uit te voeren of om problemen op te lossen alvorens
bepaalde wijzigingen of installaties worden uitgevoerd in de productieomgeving. Het aantal applicaties
kan flink oplopen in grotere organisaties. Om voor elke applicatie een testserver aan te schaffen is uit
kostenoverweging niet reëel en ook niet noodzakelijk. Meestal kunnen servers namelijk worden
hergebruikt. Dit betekent echter wel dat het opzetten van servers in de OTAP-omgeving extra tijd en
arbeid vergt en dat hierdoor de hele (test)cyclus onnodig lang is.
Door gebruik te maken van virtuele machines kunnen testomgevingen snel opgezet worden. Ook kunnen
virtuele netwerken geconfigureerd worden om bijvoorbeeld multi-tier architecturen te testen. De winst zit in
het kopiëren en klonen van bestaande virtuele machines en het bijhouden van een soort bibliotheek met
alle mogelijke configuraties van virtuele servers. Een ander voordeel is de mogelijkheid tot snelle rollback
die aanwezig is bij de toepassing van virtuele machines. Door de verminderde noodzaak tot configuratie
van hardware -te weten de diverse afzonderlijke fysieke servers- wordt de OTAP-cyclus verkort wat
bijdraagt tot meer efficiëntie van IT projecten.
High-Availability
In Service Level Agreements (SLA’s) komt vaak de eis voor dat een systeem voor 99.x % van 24x7uur
operationeel moet zijn. Deze eis wordt in het algemeen aangeduid als “High-Availability”, oftewel een
hoge beschikbaarheid. High-Availability heeft betrekking op componenten die kunnen falen waardoor de
beschikbaarheid in gevaar komt. Om dit probleem op te lossen worden systemen redundant uitgevoerd.
Het dubbel uitvoeren van hardware heeft als gevolg dat de investeringskosten toenemen, terwijl de
redundante systemen alleen maar stand-by staan en feitelijk niet echt dagelijks gebruikt worden als
productiemachine.
Om toch minder hardware te gebruiken wordt gebruik gemaakt van virtualisatie. Virtualisatie is voordelig
in geval dat er CPU marge is op de standby machine wanneer deze actief wordt. Hierdoor kunnen niet-
functionerende virtuele of fysieke servers overgenomen worden door virtuele servers. Deze migratie kan
on-the-fly gebeuren waardoor de downtime nul is. Hierbij dient opgemerkt te worden dat in het geval van
migratie van een virtuele machine naar een andere virtuele machine deze twee op aparte fysieke servers
staan. Een bijzondere variant en toepassing van High-Availability die ook op de grens van “disaster
recovery” ligt is uitwijk (contingency). Hierbij staan de redundante systemen elk op verschillende locaties.
De voordelen die bij High-Availability genoemd kunnen worden zijn zero downtime en dus efficiëntie en
lage kosten.
18
Disaster recovery
In IT jargon wordt disaster recovery in één adem genoemd met back-up en restore. Het zijn echter twee
verschillende processen. Back-up en restore voorzieningen/maatregelen zijn ten behoeve van het
incidenteel herstellen van kleine “fouten”. Bij sommige organisaties is dit een integraal onderdeel van de
dagelijkse werkzaamheden. Hierbij wordt gebruik gemaakt van periodieke back-ups. Bij disaster recovery
is de ernst van de situatie en de schade veel groter. Een ramp kan als gevolg hebben dat hele
computercentra opnieuw opgebouwd dienen te worden. Dit proces kan in de praktijk heel tijdrovend zijn,
vooral omdat er nauwelijks tests worden uitgevoerd om dergelijke rampscenario’s na te bootsen. Te lang
uit de lucht zijn kan fatale gevolgen hebben voor een organisatie.
Door gebruik te maken van virtualisatie in het geval waarbij er geen ge-mirrored uitwijklocatie is, kan het
disaster recovery proces versneld worden. Men hoeft niet eerst op elk hardware het besturingssysteem te
installeren en daarna applicaties en data. Door gebruik te maken van back-ups van alle VM’s hoeven
deze enkel op de VMM geïnstalleerd te worden waarna alle applicaties weer draaien. De winst in
efficiëntie betekent dat een organisatie een snelle recovery van de IT-systemen kan realiseren na een
ramp, hetgeen bijdraagt tot een hoge business continuity.
Behoud legacy systemen
Legacy systemen zijn IT systemen waarvan of het besturingssysteem of de applicatie niet meer door de
markt ondersteund wordt en die om uiteenlopende redenen niet gemigreerd kunnen worden naar
moderne (hardware) systemen. Deze redenen kunnen bijvoorbeeld zijn incompatibiliteit, financiën of
gebrek aan expertise. Helaas is legacy –vanwege hardwareafhankelijkheid- een nog vaak voorkomend
verschijnsel in IT-organisaties. Virtualisatie kan echter een uitkomst bieden. Door de legacy systemen te
converteren in een VM, worden het besturingssysteem en de applicatie losgekoppeld van de hardware.
Hierdoor kan de desbetreffende VM met oud besturingssysteem en bijbehorende applicatie als een
appliance op elke hardware geïnstalleerd worden. Het voordeel in dit geval is portabiliteit en flexibiliteit.
Hierdoor kunnen legacy besturingssystemen toch op moderne hardware gedraaid worden.
Het voordeel dat virtualisatie biedt is in principe voor alle genoemde toepassingen gelijk. Door het gebruik
van virtualisatie wordt meer gedaan in minder tijd met minder inspanning en is er minder hardware nodig.
Of, zoals het verwoord werd in de presentatie van het firma Bull [23]: “virtualisatie gaat niet over verlagen
van kosten maar het elimineren van verspilling”. Het grootste voordeel is dus efficiëntie. De efficiëntie is
de resultante van de flexibiliteit, portabiliteit, schaalbaarheid, onderhoudbaarheid en effectiviteit die door
virtualisatie gerealiseerd worden.
19
2.4 Mogelijke valkuilen bij de toepassing van virtualisatie
Doordat de virtuele machines in feite bestanden zijn en dus kopieerbaar zijn, is er een verhoogd risico
aanwezig op wildgroei van virtuele machines. Invoering van virtualisatie stelt daarom eisen aan
versiebeheer en beveiliging van de VM bestanden.
Door de introductie van de virtualisatielaag wordt een nieuw object van beheer gecreëerd. Degene die
toegang heeft tot deze laag dient kundig te zijn en er dient functiescheiding te zijn tussen het beheer van
de virtualisatielaag en het beheer van de virtuele machines. Anders bestaat het risico dat
systeembeheerders van bepaalde virtuele servers toegang krijgen tot overige servers waar zij niet voor
verantwoordelijk zijn en waartoe zij geen toegang nodig hebben. Ook bestaat de kans dat medewerkers
van de verschillende OTAP-omgevingen toegang krijgen tot elkaars data en programmatuur.
Sommige licenties worden per CPU uitgegeven. Virtuele machines maken in principe gebruik van
dezelfde CPU, terwijl de licenties meerdere malen gebruikt worden. Het is niet duidelijk wat de juridisch
mogelijkheden en gevolgen hiervan zijn, dit onderwerp is -hoewel een belangrijk punt van aandacht- in het
kader van deze scriptie niet nader onderzocht.
Virtualisatieproducten zijn op dit moment allemaal leveranciersgebonden. Er is nog geen universele
standaard, waardoor de vele producten niet compatibel zijn en de afnemer na de eerste investering in
beginsel gebonden is aan een bepaalde leverancier.
Het hoofddoel van de implementatie van virtualisatie is efficientie. Maar de efficientieverbetering kan
alleen gerealiseerd worden indien er een minimaal aantal fysieke servers gevirtualiseerd worden. Voor
kleine aantallen is het niet in alle gevallen voordelig.
2.5 Onjuist gebruik en misbruik van virtualisatie
Virtualisatie is een handig hulpmiddel, maar is niet voor alle toepassingen geschikt. Applicaties die een
hoge performance moeten leveren zijn niet geschikt om op virtuele machines te installeren. Het gaat
hierbij om database managementsystemen en email servers. Deze servers dienen veel I/O-aanvragen
tegelijk te verwerken en benutten daarbij de volledige servercapaciteit. Het delen van die capaciteit over
meerdere virtuele servers kan in deze situatie beperkend werken voor de performance.
Nog een aandachtspunt is de zogenoemde Single Point of Failure. Dit betekent dat een systeem op een
enkel punt zodanig kwetsbaar is dat een defect gevolgen kan hebben voor de beschikbaarheid. Door
20
meerdere fysieke servers te consolideren op één fysieke server heeft een hardwaredefect invloed op alle
daarop geïnstalleerde virtuele servers. Dit probleem kan worden opgelost door gebruik te maken van
redundante systemen. Hierbij worden op extra fysieke servers redundante meerdere virtuele servers
geïnstalleerd.
Er kunnen in principe ook virtuele netwerken gemaakt worden aan de hand van virtuele netwerkswitches
en virtuele machines. Echter is deze optie niet volwassen genoeg voor productieomgevingen. De virtuele
netwerkswitches zijn niet geavanceerd zoals fysieke switches. Verder zijn virtuele machines op
verschillende fysieke machines moeilijk door middel van virtuele switches aan elkaar te verbinden. Dit
betekent dat deze virtuele netwerken alleen op één fysieke server kunnen bestaan waardoor hier een
single point of failure onvermijdelijk is.
Vanwege het feit dat virtuele machines met bijbehorende applicaties als bestanden worden opgeslagen,
zijn virtuele machines portabel. Hierdoor is het, in tegenstelling tot een grote fysieke server, in theorie
makkelijker om ongeautoriseerd complete servers met bijbehorende applicatie en data te kopiëren en
deze voor kwaadwillende doeleinden te gebruiken.
Inmiddels zijn ook hackers actief bezig met virtualisatietechnieken. Onlangs is bekend geworden dat het
kwaadaardige computerprogramma “Blue Pill” [36] gebruik maakt van de virtualisatieprincipes en zichzelf
on-the-fly en ongemerkt als “host operating system” kan installeren op een fysieke server. Het
oorspronkelijke host besturingssysteem wordt dan een guest besturingssysteem in een virtuele machine
dat op het nieuwe host besturingssysteem draait. Hiermee heeft de hacker via zijn nieuwe host
besturingssysteem controle over het guest besturingssysteem en dus de applicaties die daarop draaien.
De aanwezigheid van de kwaadaardige code is erg moeilijk te detecteren. In figuur 3 is het effect van Blue
Pill geïllustreerd. Het oorspronkelijke besturingssysteem is in het groen afgebeeld. De code van de
aanvaller die uiteindelijk het host besturingssysteem wordt, is met blauw aangegeven.
21
Figuur 3. Werking van de kwaadaardige code Blue Pill geïllustreerd.
In dit hoofdstuk is het begrip virtualisatie in diverse vormen uitgewerkt. Ook de mogelijke toepassingen en
voor- en nadelen zijn genoemd. In het volgende hoofdstuk zal aandacht worden besteed aan IT-
management en IT-audit aspecten.
22
3 IT-Management en IT-auditing 3.1 Inleiding
In dit hoofdstuk zal worden ingegaan op principes van IT-management en IT-auditing. Vanuit IT-
governance perspectief zal de stap worden gemaakt naar IT-management betreffende virtualisatie.
Vervolgens wordt de positie van virtualisatie binnen de IT-organisatie nader toegelicht. In het afsluitend
deel van het hoofdstuk zal worden stilgestaan bij de meest van toepassing zijnde IT-auditaspecten.
3.2 IT-governance en IT-management
IT-governance
IT is niet langer een bijzaak binnen organisaties maar vormt een integraal onderdeel van de strategie van
elke zichzelf respecterende organisatie van enige omvang. In dit kader dienen eisen te worden gesteld
aan de beheersing van de IT-processen en het afleggen van verantwoording door het IT-management.
Deze hele cyclus wordt IT-beheersing oftewel IT-governance genoemd. IT-governance gaat over het
besturen, beheersen en uitvoeren van, het afleggen van verantwoording over en het toezicht op de
informatievoorziening binnen een organisatie [24].
In [25] wordt IT-governance concreter gedefinieerd als het besturen van, de verantwoording over en de
toetsing van IT investeringen in organisaties. De volgende doelstellingen van IT-governance kunnen
onderkend worden:
- het optimaliseren van de toegevoegde waarde van IT-investeringen/ondersteuning van de
bedrijfsprocessen;
- het beheersen van de kosten van IT;
- het beheersen van de risico’s die het gebruik van IT met zich meebrengt.
IT-governance gaat niet over het nemen van beslissingen omtrent IT-investeringen. Waar IT-governance
wel betrekking op heeft zijn de spelregels, het vaststellen van het kader waarbinnen medewerkers van
een organisatie opereren en beleid en aansturing.
23
IT-governance binnen de Rijksoverheid
IT neemt tegenwoordig binnen de overheid een vooraanstaande positie in [28]. De toepassing van IT is
onmisbaar en vormt een integraal onderdeel van de primaire processen binnen de overheid. Net als met
overige middelen dient ook de overheid effectief en efficiënt om te gaan met de beschikbare IT middelen.
Omdat het strategische belang van IT voor de beleidsuitvoering onderkend wordt, wordt IT-governance
ook onmisbaar binnen de overheid. Naar aanleiding hiervan heeft de Algemene Rekenkamer onlangs een
onderzoek gedaan hoe IT-governance zich ontwikkelt binnen het Rijk.
De Algemene Rekenkamer hanteert de volgende definitie van IT-governance (zie bijlage A1 en A2).
IT-governance is de gezamenlijke verantwoordelijkheid van de top van de organisatie en de
toezichthouder(s) voor:
- De interne sturing van de IT-voorziening van de organisatie;
- De interne beheersing van de IT-voorziening van de organisatie;
- De externe verantwoording over IT-voorziening van de organisatie;
- Het externe toezicht op de IT-voorziening van de organisatie;
- En (bij ministeries, indien van toepassing) de aansturing van en het toezicht op de IT-voorziening van
de rechtspersonen met een wettelijke taak (oftewel ZBO’s5) door het ministerie.
Het eerste component oftewel interne sturing kan samengevat worden als het uitzetten van een koers
voor de IT-voorziening. Interne beheersing kan aangeduid worden als het op koers houden van een IT-
voorziening. Externe verantwoording heeft betrekking op het vermelden in een verantwoordingsverslag of
een bepaald ministerie in control is. Bij extern toezicht gaat het om het toezien op de uitvoering van het
IT-beleid en de daaruit voortvloeiende resultaten. Het laatste punt spreekt voor zich.
Met het toegelichte IT-governance model als uitgangspunt heeft de Algemene Rekenkamer een
onderzoek gedaan naar de praktijk bij twee ministeries. Hier volgen de voor deze scriptie meest relevante
bevindingen. Wat betreft interne sturing zijn er veel ontwikkelingen vastgesteld bij de twee ministeries.
Beide ministeries hebben een project opgestart om de IT-functie opnieuw in te richten waarbij de IT-
organisatie en de besturings- en besluitvormingsstructuur met bijbehorende taken en
verantwoordelijkheden worden herzien. Verder wordt er aandacht besteed aan de verbinding tussen
bedrijfsprocessen en IT en ook aan transparantie en het inzichtelijk maken van IT-kosten. Daarnaast
wordt onderkend dat samenwerking tussen de verschillende diensten binnen een ministerie en meer
standaardisatie in IT-architectuur ook voordelen zullen opleveren. Het hoofddoel hierbij is om de IT-functie
5 ZBO staat voor Zelfstandige Bestuursorganen. Het betreft hier niet de intern verzelfstandigde agentschappen.
24
efficiënter en effectiever in te richten zodat er een betere aansluiting ontstaat tussen vraag en aanbod van
IT.
Uit het onderzoek blijkt dat interne beheersing minder aandacht krijgt. De IT-strategie wordt niet periodiek
geëvalueerd en geactualiseerd. Wel besteden beide departementen aandacht aan de tevredenheid van
de gebruikers van IT-voorzieningen. Een ander positief punt is dat alle ministeries gezamenlijk een project
hebben uitgevoerd om de IT-kosten per werkplek in kaart te brengen en de resultaten van de afzonderlijke
ministeries met elkaar te vergelijken. Een relevant detail hierbij was dat bij slechts vier ministeries de IT-
kosten goed te traceren waren.
Een opvallende en positieve rijksbrede ontwikkeling is de functie van CIO (chief information officer). De
CIO is verantwoordelijk voor IT-governance binnen de ministeries en vormt de verbinding tussen
bedrijfsprocessen en de IT-voorziening. Deze functie is bij de meeste ministeries ondergebracht bij de
plaatsvervangend secretaris-generaal (pSG). In deze hoedanigheid zijn de pSG’s bezig gezamenlijk hun
IT-deskundigheid uit te breiden teneinde hun CIO functie beter in te vullen.
Naar aanleiding van het onderzoek heeft de Algemene Rekenkamer ook een aantal aandachtspunten
genoemd ten behoeve van IT-governance. Hier volgt een selectie:
- Ministeries dienen bij het maken van keuzes over de informatievoorziening rekening te houden dat ze
ook deels afhankelijk zijn van partnerministeries;
- De consequenties van de samenwerking tussen verschillende ministeries dienen in beschouwing te
worden genomen bij de interne afstemming van organisatiedoelen en IT-strategie;
- Het bijhouden van een ministeriebrede IT-portfolio ten behoeve van IT-investeringen;
- Het ontwerpen van een toekomstvaste ministeriebrede gestandardiseerde IT-architectuur die aansluit
op de behoeften van de organisatie en van haar ketenpartners;
- Om te voorkomen dat de IT-dienstverlening alleen vanuit de techniek of door commerciële
overwegingen wordt gestuurd, is een optimale afstemming tussen vraag vanuit de organisatie en
aanbod van ICT noodzakelijk;
- Verdere professionalisering van de CIO’s is onontbeerlijk om het IT-governance groeitraject te kunnen
leiden.
De Algemene Rekenkamer concludeert dat beide onderzochte ministeries bezig zijn om IT-governance
vorm te geven. Er zijn veel overeenkomsten in de wijze waarop de twee ministeries dit doen. Vooral op
het gebied van interne sturing zijn ze in een gevorderd stadium. Een belangrijke ontwikkeling hierbij is het
streven naar een centrale regie op de organisatie van de informatievoorziening en inrichting van IT-
voorziening door de CIO. Wel hebben ze nog een lange weg te gaan om IT-governance volledig in te
25
richten binnen de departementen.
IT-management
Een belangrijk onderdeel van IT-governance is IT-management. IT-management heeft betrekking op de
uitvoering, besluitvorming en verantwoording van IT-activiteiten binnen de gestelde kaders van IT-
governance. Concreter geformuleerd, IT-management is gericht op de effectieve en efficiënte levering van
IT-diensten en –producten in de interne organisatie en op het beheer van huidige IT-operaties. IT-
governance is veel ruimer en concentreert zich meer op het functioneren en transformeren van IT, om te
beantwoorden aan zowel de huidige als toekomstige behoeften van de organisatie (intern) en haar
klanten (extern) [26].
In [27] wordt door middel van een managementcyclus een bedrijfsmatige aanpak behandeld ten behoeve
van IT-management. De managementcyclus is afgebeeld in figuur 4.
Figuur 4. Managementcyclus ten behoeve van IT-management.
De eerste fase in de managementcyclus is beleid- en planvorming. In deze fase vindt de vertaling plaats
van bedrijfsstrategie naar informatiebeleid welke ook het IT-beleid bevat. Het IT-beleid bevat de
langetermijnvisie voor systeemontwikkelingsorganisatie, voor de verwerkingsorganisatie en voor de
technische infrastructuur. Dit IT-beleid is meer kadervormend en richtinggevend. Uit het IT-beleid vloeien
de informatieplannen voort. Hierin zijn de uit te voeren IT activiteiten gedefinieerd zoals, de architectuur
van informatiesystemen en de technische infrastructuur, de koppeling tussen de organisatiedoelstellingen
en de IT en de op te starten IT-activiteiten met prioriteitstelling en onderbouwing hiervan.
In de tweede fase vindt daadwerkelijke realisatie plaats van informatieplannen. Deze informatieplannen
26
worden omgezet in concrete projectplannen. In deze fase is de aard van de projecten bepalend voor de
wijze van sturing en beheersing. In tabel 3 is een overzicht te zien waarin per soort project de
eigenschappen en stuurinformatie zijn genoemd. Het virtualisatietraject past bij de kolom van
efficiëntieverbetering. IT als hulpmiddel IT als
beheerinstrument IT als verbeterinstrument
IT als strategisch wapen
Doelstelling Efficiëntieverbetering Verbetering van de
informatievoorzieningVerbetering van de bedrijfsprocessen en informatievoorziening
Structurele verbetering van de bedrijfsvoering
Schaalgrootte Klein Middelgroot Groot (Zeer) groot Doorlooptijd Maximaal 1 jaar 1 à 3 jaar 2 à 3 jaar 3 à 7 jaar Complexiteit IT Gering Redelijk Groot (Zeer) groot Organisatorische en sociale complexiteit
Gering Beperkt Groot (Zeer) groot
Faalkans Klein Matig Groot (Zeer) groot Faalkosten Beperkt Redelijk Hoog Extreem hoog Rol gebruiker Gering Op verzoek bij
ontwerp en acceptatie
Actieve participatie Analist en ontwerper
Belangrijkste stuurvariabelen
Geld en tijd Aanpak Organisatie Integraal aansturen op organisatie en aanpak
Grootste valkuil Onderschatting Schuivende doelstelling
Weerstand tegen verandering
Verlies van overzicht
Bemoeienis management
Minimaal Tight control op risicofactoren
Tight control op succesfactoren
Maximaal
Tabel 3. Overzicht van eigenschappen en stuurfactoren onderscheiden per soort project.
Na het opstellen van projectplannen en het realiseren van deze plannen wordt het systeem in beheer
genomen. In deze fase van exploitatie en beheer is de waarborg voor een effectieve, efficiënte en
betrouwbare ondersteuning van de bedrijfsprocessen van belang. In de praktijk wordt vaak ITIL gebruikt
voor het beheren van IT-voorzieningen. Het kunnen voldoen aan de wensen van de afnemers van de IT-
diensten -op een concurrerende en kosteneffectieve wijze- staat hierbij centraal.
Het sluitstuk van de managementcyclus wordt gevormd door evaluatie en bijsturing. Hierbij worden
periodiek de IT-organisatie en de opgeleverde producten en diensten getoetst. Waar nodig zal er
bijsturing/optimalisatie plaatsvinden.
Positie virtualisatie binnen de IT-organisatie
Als de managementcyclus van de vorige paragraaf in beschouwing wordt genomen, kan vastgesteld
worden dat na de doelstelling en keuze van een IT-project, de beheer- en exploitatiefase de belangrijkste
27
pijler is. Recapitulerend: hier wordt invulling gegeven aan efficiëntie en effectiviteit. In deze paragraaf zal
ingezoomd worden op beheer en exploitatie [25].
De IT-organisatie kan gesplitst worden in een IT aanbod- en IT vraagzijde. Vanuit de business – lees:
primaire bedrijfsprocessen – ontstaat de behoefte aan ondersteuning vanuit IT. De IT vraagzijde vertaalt
de wensen en eisen van de business naar IT-behoeften. Deze IT-behoeften zijn in feite de gewenste IT-
diensten. De aanbodzijde is over het algemeen een ondersteunende dienst en is verantwoordelijk voor de
ontwikkeling en levering van diensten. Het totstandkomen van IT-diensten is naast de ontwikkelafdeling
ook afhankelijk van input van de vraagzijde en externe leveranciers. De IT aanbodzijde wordt ook IT
Service organisatie genoemd. Virtualisatie wordt binnen de IT service organisatie toegepast en is in
principe transparant voor de vraagzijde. In figuur 5 is de wisselwerking tussen de verschillende partijen te
zien.
Externe leverancier
Ontwikkelafdeling
Diensten leveranciers
Middelen leveranciers
Service levelmanagementorganisatie
Gebruikers
IT Serviceorganisatie Business
EnablingIT alignment
Diensten
Middelen
Applicaties &infrastructuur
Contract en SLA
Diensten
Beleid en architectuur
Aanbod Vraag
Figuur 5. Referentiemodel met de interactie tussen de verschillende partijen afgebeeld. De punten die met rood zijn gemarkeerd zijn relevant wanneer virtualisatie in een organisatie wordt
geïmplementeerd. Deze figuur laat als het ware zien hoe de diensten die de IT-organisatie levert
samenhangen met leveranciers, de vraagzijde en het beleid. De relatie met de ITIL processen is in dit
model nog niet zichtbaar. In figuur 6 is door middel van het model van Maes duidelijk gemaakt wat de
positie is van de ITIL processen binnen de IT service organisatie.
28
Informatie-managementBedrijfsbeleid
Inrichting enafstemming van de
organisatie,business
alignment, ITarchitectuur
Tactischmanagement
Operationeelmanagement
Bedrijfsprocessen
Service LevelManagementorganisatie
Functioneel beheer
De tactische ITILprocessen
Applicatie beheer
Technisch beheer
Business Vraagzijde Aanbodzijde
Figuur 6. De ITIL processen verduidelijkt in het model van Maes.
Het model van Maes verdeelt een organisatie in drie lagen: strategisch, tactisch en operationeel. In figuur
6 is te zien dat op strategisch gebied de ITIL processen nog geen rol spelen in de IT service organisatie.
Daar draait het voornamelijk om business alignment oftewel aansluiting op de primaire bedrijfsprocessen.
Op tactisch en operationeel niveau zijn de ITIL processen wel van belang. Vanwege de te leveren
diensten is er een nauw verband met de Service Level Management organisatie.
Door gebruik te maken van de informatie uit hoofdstuk 2 is de relatie gelegd tussen virtualisatie en de
tactische – en operationele ITIL processen. In tabel 4 is een overzicht opgenomen van de positieve
werking van virtualisatie binnen de IT service organisatie.
29
Tactische ITIL processen Operationele ITIL processen Financial Management: Geen verschil tussen oude situatie met alleen fysieke servers en nieuwe situatie met logische servers.
Servicedesk6: Door gebruik te maken van virtuele machines kan de Servicedesk beschikken over meerdere applicaties en besturingssystemen waardoor op een meer efficiente manier kan worden gewerkt om vragen te beantwoorden. Er behoeven geen verschillende fysieke machines te worden ingericht met elk een eigen versie van besturingssysteem of applicatie. Ook kan snel een kopie worden gemaakt van de oorspronkelijke fysieke of virtuele server en kan een virtueel netwerk gebruikt worden ten behoeve van troubleshooting.
IT Service Continuity Management: De toepassing van virtualisatie in combinatie met een SAN resulteert in een effectieve IT Service Continuity Management. Bij calamiteiten kunnen systemen tegen geringe kosten in weinig tijd met weinig inspanning worden opgebouwd. Hierdoor wordt een hogere continuïteit aan de afnemers aangeboden en leidt een organisatie minder verlies.
Incident Management: De processen Incident -, Problem - en Change Management zijn nauw met elkaar verbonden. Het gaat in principe om het oplossen van verstoringen, het testen van de oplossing en het vervolgens transporteren van de verbeterde applicatie naar productieomgeving. De winst ten gunste van deze processen is divers: vermindering van storingstijd en downtime, vermindering in kosten van testomgevingen en verbetering van de reactietijd op meldingen. Doordat er minder tijd nodig is om systemen op te bouwen en te testen kunnen de medewerkers meer in weinig tijd doen.
Capacity Management: Geen verschil tussen oude situatie met alleen fysieke servers en nieuwe situatie met logische servers.
Problem Management: Zie Incident Management.
Availability Management: In de traditionele wereld van alleen fysieke servers dient extra geïnvesteerd te worden in extra hardware die in feite continu standby staan en niet echt benut worden. Ook moet bij een aantal fail-over oplossingen met fysieke servers de servers die standby staan gereset worden of moeten de gebruikers hun pc’s resetten alvorens verder te kunnen werken. Door toepassing van virtualisatie kan worden volstaan met minder fysieke servers. De servers die standby staan zijn in dit geval virtuele servers. Virtualisatie is in dit geval alleen aantrekkelijk als er marge is in de CPU belastsing op de standby node wanneer deze actief wordt. Bij een fail-over gebeurt dit on-the-fly en is het proces transparant voor de gebruikers waardoor er niets gereset hoeft te worden. Met virtualisatie kan ten behoeve van het proces Availability management tegen geringe kosten een effectieve high-availability gerealiseerd worden. Hierdoor neemt het aantal momenten van niet-beschikbaarheid en de duur van niet-beschikbaarheid af. Een gevolg hiervan is dat de nadruk verschuift van foutherstel naar serviceverbetering, wat betekent betere SLA’s. Klanten zullen ook meer tevreden zijn.
Change Management: Zie Incident Management.
6 Service Desk is in feite een afdeling en geen proces. Overige processen zoals Incident - en Problem Management
starten met een melding bij de Service Desk. De Service Desk is vaak een soort front-office voor eindgebruikers die
in contact staat met de back-office van de aanbodkant.
30
Tactische ITIL processen Operationele ITIL processen Service Level Management: Door lagere aanschaf-, beheer- en onderhoudkosten en de kortere doorlooptijden van projecten kunnen diensten tegen een aantrekkelijke prijs aangeboden worden. IT-projecten kunnen bij de toepassing van virtualisatie in bepaalde fases minder tijd in beslag nemen, omdat van de meeste omgevingen actuele herbruikbare virtuele machines beschikbaar zijn. Ook de kwaliteit van de dienstverlening –vertaald naar efficiëntie en effectiviteit- gaat omhoog vanwege de genoemde voordelen bij desktop-, incident-, problem-, change-, capacity- en availability management. Het resultaat is een verbeterde Service Level Management.
Configuration Management: Door de toepassing van virtualisatie wordt het belang van hardware minder en worden virtuele machines als software geregistreerd en beheerd. Hierdoor kunnen virtuele servers en bijbehorende applicatie als één CI –oftewel appliance- worden geregistreerd waardoor het proces minder complex wordt.
Security Management: In de traditionele wereld van server consolidatie zonder virtualisatie zijn de verschillende applicaties op een enkele server niet onafhankelijk van elkaar. Deze onafhankelijkheid betreft het kwaliteitsaspect beschikbaarheid. Fouten in de ene applicatie kan gevolgen hebben voor overige applicaties op dezelfde server. Door gebruik te maken van virtuele servers per applicatie op een fysieke server, worden de verschillende applicaties volledig onafhankelijk van elkaar. Zelfs bij uitbraak van een computervirus blijft dit beperkt tot desbetreffende virtuele machine. De rest is afgeschermd en draait zonder problemen door.
Tabel 4. Positieve werking van virtualisatie op de ITIL processen.
Na deze introductie over IT-governance en IT-management zullen de aandachtspunten van IT-auditing in
de volgende paragrafen worden belicht. Deze zijn de specifieke aandachtspunten die van toepassing zijn
bij virtualisatie.
3.3 IT-audit
In deze paragraaf wordt de relatie tussen IT-management en IT-auditing verduidelijkt. Dit wordt gedaan
door een beschouwing van de huidige stand van zaken betreffende virtualisatie binnen het IT-audit
vakgebied gevolgd door het belangrijke onderwerp objectafbakening. Mogelijke IT-management
aandachtspunten komen ook aan bod, waarna met het raamwerk Cobit wordt afgesloten.
IT-auditing en virtualisatie: de huidige stand van zaken binnen het vakgebied
Tot op heden zijn nauwelijks vaktechnische artikelen gepubliceerd over het onderwerp “Auditing van
Virtualisatie”. In het vakblad “De EDP-Auditor” [29] is wel aandacht besteed aan de rol van de IT-auditor
bij audits waar gebruik wordt gemaakt van virtualisatie. Onderstaand volgen de belangrijkste
auditaspecten uit dat artikel.
Belangrijk bij audits van omgevingen waar servervirtualisatie is geïmplementeerd zijn de specifieke
31
toepassing en het aangeschafte virtualisatie product. Vooral onderling tussen de producten bestaan vele
verschillen. Conform de voorschriften van de NOREA wordt geconcludeerd dat de IT-auditor over
voldoende kennis en ervaring dient te beschikken met betrekking tot een bepaald onderzoeksobject om
de opdracht te mogen aanvaarden en uitvoeren. Mocht dat niet het geval zijn dan dient de IT-auditor altijd
een deskundige in te huren. De IT-auditor dient in het voortraject van de opdracht na te gaan of gebruik
wordt gemaakt van virtualisatie in de IT-omgeving.
De aandachtspunten die genoemd zijn hebben alle betrekking op het technisch operationeel gebied.
Tevens zijn ze niet product- of toepassingsafhankelijk. De volgende punten zijn genoemd:
- Beheer van de virtualisatiesoftware;
- Logische toegangsbeveiliging beheerconsole;
- Beveiliging van configuratiebestanden van virtuele machines;
- Scheiding van bestanden tussen virtuele machines;
- Aanwezigheid van back-ups van de configuratie van de virtuele omgeving.
In het vervolg van deze scriptie zullen ook andere auditaspecten aan bod komen. Een volwaardige audit
van een virtualisatie omgeving vereist meer diepgang en is ook sterk afhankelijk van wat de
opdrachtgever wil laten onderzoeken. Hierbij spelen behalve het object van onderzoek ook de
kwaliteitsaspecten een rol.
Afbakening auditobject
Eén van de belangrijkste onderwerpen die in elke opdrachtbevestiging duidelijk omschreven dient te zijn
is de afbakening van het auditobject. In haar boek pleit Margaret van Biene [30] voor een
objectgeoriënteerde audit aanpak. In deze aanpak wordt IT-management als uitgangspunt genomen.
Deze filosofie is verder uitgewerkt in Norea geschrift nr. 1 [31].
Met betrekking tot virtualisatie zijn de domeinen Informatiestrategie, IM/IT-management, technische
systemen en operationele ondersteuning interessant. Het domein Informatiestrategie spreekt voor zich en
omvat objecten zoals het informatiebeleid, informatieplanning en informatiearchitectuur. Hieronder zal
worden ingegaan op de overige domeinen.
Over het algemeen kan een aantal IM/IT-objecten onderscheiden worden in relatie tot virtualisatie. Deze
objecten zijn plannen en organiseren, budgetteren, beslissen en innoveren. Een verdere verbijzondering
leidt tot meer concrete auditobjecten. Hierbij valt te denken aan het definiëren van de doelstelling ten
aanzien van technische systemen, het maken van business cases ten behoeve van prioriteitsstelling van
32
projecten en het bepalen van prioriteiten voor de introductie van nieuwe technologieën.
De operationele automatiseringsondersteuning van een organisatie betreft de installatie, het beheer en
het onderhoud van de automatiseringsmiddelen die ter beschikking staan van een organisatieonderdeel.
Tot dit domein behoren de beheerorganisatie, beveiliging, autorisatie, risicomanagement,
resourcemanagement, capaciteitsmanagement en versiebeheer.
Bij de opdrachtaanvaarding met betrekking tot virtualisatie zal de IT-auditor ondermeer rekening moeten
houden met de genoemde domeinen en objecten. Dit vloeit voort uit de informatie in hoofdstuk 2 en uit de
eerder behandelde managementcyclus. In hoofdstuk 6 zal gebruik gemaakt worden van deze domeinen
en objecten om tot een generiek virtualisatie raamwerk te komen.
Aandachtspunten IT-management
IT-managers dienen de ontwikkelingen in de IT branche nauwlettend te volgen teneinde de primaire
bedrijfsprocessen te optimaliseren en indien nodig het IT beleid van de organisatie aan te passen. Om de
doelstellingen van het uitgezette beleid te realiseren worden personele en financiële middelen ingezet. De
financiële middelen betreffen ondermeer de IT investeringen. Bij het hele proces van IT-management
worden de managers geconfronteerd met de volgende aandachtspunten [19] :
1. Investering in IT systemen: Hoe kunnen organisaties maximaal rendement halen uit hun
investeringen?
2. Bedrijfsstrategie: Wordt IT effectief gebruikt? En zo niet, welke complementaire bedrijfsmiddelen zijn
er nodig om dit te realiseren?
3. Globalisering: Wordt er gebruik gemaakt van IT middelen (bij voorkeur gestandaardiseerd) die
mondiaal ondersteund worden zodat de organisatie de aansluiting internationaal niet mist?
4. IT infrastructuur: Is de IT infrastructuur flexibel en schaalbaar ingericht om de snelle innovatieve IT
ontwikkelen te kunnen volgen?
5. Complexiteit en beveiliging: Hoe kunnen organisaties hun IT systemen beveiligen zonder dat het
gebruik en beheer niet te complex worden?
Een analyse van de 5 genoemde punten vanuit het oogpunt van een IT-auditor resulteert in een aantal
interessante bevindingen.
De vijf aandachtspunten zijn onder te verdelen in diverse kwaliteitsaspecten. Bij 1 komt het woord
“rendement” voor. Dit heeft een relatie met het kwaliteitsaspect efficiëntie. Bij het tweede punt is het
33
kwaliteitsaspect effectiviteit genoemd. Punt 3 bevat het sleutelwoord standaardisatie. Standaardisatie
echter is geen kwaliteitsaspect, al kan de aanwezigheid van standaarden wel bijdragen tot optimalisatie
van andere kwaliteitsaspecten. Een voorbeeld is de onderlinge compatibiliteit tussen producten van
verschillende fabrikanten wat de beschikbaarheid ten goede komt. Bij punt 4 worden de
kwaliteitsaspecten flexibiliteit en schaalbaarheid behandeld en in het laatste punt kunnen
beheersbaarheid, vertrouwelijkheid, integriteit en beschikbaarheid onderscheiden worden.
In de praktijk blijken de kwaliteitsaspecten efficiëntie en effectiviteit geen reguliere, frequent voorkomende,
onderzoeksaspecten te zijn voor de IT-auditor. Deze twee aspecten spelen echter een centrale rol in het
virtualisatie concept. Zuiver beschouwd zijn deze twee kwaliteitsaspecten bedrijfseconomisch van aard.
Bij de beoordeling van en advisering over de kwaliteit van het orgaan IT-management zijn de relevante
kwaliteitsaspecten in bijna alle gevallen efficiëntie en effectiviteit. Verwijzend naar [31] wordt aangegeven
dat bij een audit naar met name Informatiestrategie en IM/IT-management de efficiëntie en effectiviteit
centraal staan.
Uit [32] is bekend dat het optimaliseren van een bepaald kwaliteitsaspect invloed kan hebben op andere
kwaliteitsaspecten. Daarom zullen altijd ook de overige kwaliteitsaspecten in beschouwing moeten
worden genomen om tot een evenwichtig stelsel van te treffen maatregelen te komen. Vertrouwelijkheid,
integriteit en beschikbaarheid blijven dus ook belangrijk. Dit geldt ook voor de implementatie van
virtualisatie binnen een organisatie. Zowel bedrijfseconomische als technische aspecten zijn van belang.
De manager dient -al dan niet ondersteund door de IT-auditor- een keuze te maken aangaande de risico’s
die aanvaard worden en over de vraag welke beheersingsmaatregelen getroffen zullen worden. In de
volgende paragraaf zullen raamwerken die de IT-auditor ter beschikking heeft worden behandeld. Deze
raamwerken zijn gemaakt om IT-management te optimaliseren.
Raamwerken ten behoeve van IT-governance en IT-management
Eén van de meest gebruikte frameworks is Cobit 4.0 [33]. Omdat Cobit alle IT-processen raakt, is
gekozen om in deze scriptie gebruik te maken van Cobit. Bij het opstellen van Cobit 4.0 is gebruik
gemaakt van andere bekende referentiemodellen. Deze zijn o.a. COSO, ITIL, CMM en ISO/IEC
17799:2005.
Cobit staat voor Control Objectives for Information and related Technology en is ontwikkeld ter
ondersteuning van de directie, IT-managers en IT-auditors. Dit raamwerk kan vanuit meerdere
invalshoeken worden gebruikt. In deze scriptie staan de IT-processen centraal.
34
De bedrijfseisen zijn in Cobit gedefinieerd als kwaliteitsaspecten. De volgende kwaliteitsaspecten zijn
benoemd: effectiviteit, efficiëntie, vertrouwelijkheid, integriteit, beschikbaarheid, naleving en
betrouwbaarheid. De IT-middelen betreffen gegevens, applicaties, technologie en mensen. De IT-
processen zijn ingedeeld per hoofddomein.
Binnen Cobit kunnen vier hoofddomeinen worden onderscheiden.
- Planning en organisatie;
- Aanschaf en implementatie;
- Levering en ondersteuning;
- Bewaking en evaluatie.
In totaal zijn 34 generieke IT-processen gedefinieerd die vallen onder de vier genoemde domeinen. In
Appendix I van Cobit 4.0 zijn de “business goals” gekoppeld aan IT-doelen. Vervolgens is een matrix
opgenomen van deze IT-doelen en de bijbehorende IT-processen. Ook de relevante kwaliteitsaspecten
zijn aangegeven.
In de volgende exercitie wordt, uitgaande van de informatie die tot nu toe aan de orde is gekomen, een
selectie gemaakt uit Cobit van de voor virtualisatie relevante IT-processen. Hierbij wordt Appendix I uit
Cobit 4.0 gebruikt. Eerst worden de bedrijfsdoelstellingen geselecteerd die van toepassing zijn bij
virtualisatie. Aan de geselecteerde bedrijfsdoelstellingen zijn de IT-doelen en relevante kwaliteitsaspecten
gekoppeld. Het resultaat staat in bijlage B1.
De geselecteerde IT-doelen worden daarna gekoppeld aan de van toepassing zijnde Cobit processen. Dit
is geïllustreerd in bijlage B2. In deze tabel staan alleen de nummers van de Cobit processen vermeld.
Een overzicht van de Cobit processen staat in bijlage B3. Een nadere analyse van het resultaat wijst uit
dat er nog steeds veel processen zijn, hoewel sommige ervan minder of niet relevant zijn bij de
implementatie van virtualisatie. Hoewel de wijze waarop deze selectie tot stand is gekomen ruimte biedt
voor verfijning, kan niettemin worden geconcludeerd dat deze subset van processen gebruikt kan worden
als kapstok voor een virtualisatie raamwerk. In de volgende hoofdstukken zal een verfijning van deze
subset van processen plaatsvinden. Indien noodzakelijk zal er gebruik worden gemaakt van overige
raamwerken zoals ITIL en de Code voor Informatiebeveiliging.
35
4 Praktijkcasus 4.1 Inleiding
In dit hoofdstuk wordt een virtualisatie praktijkcasus beschreven. Deze casus heeft betrekking een ZBO
binnen het Rijk. Eerst wordt de achtergrondinformatie gegeven over de organisatie gevolgd door de
aanleiding. Daarna wordt aangegeven hoe tot het besluit is gekomen om gebruik te maken van
virtualisatie. Vervolgens worden zowel de voor- en nadelen genoemd van de gekozen oplossing. Als
laatste wordt aangegeven welke aandachtspunten de IT-organisatie zelf heeft onderkend en welke
maatregelen getroffen zijn.
4.2 Organisatie achtergrond
Visie en ambitie
Het ZBO heeft de ambitie om de komende jaren als excellente dienstverlener te ‘innoveren met minder
middelen’. Daarbij ligt het accent in de planperiode niet op reorganisaties en herstructureringen, maar op
verbreding/vernieuwing van haar dienstverlening voor haar individuele en institutionele klanten. Innovatie
op het terrein van producten/diensten, bedrijfsvoering en concernsturing en ondersteuning zal moeten
leiden tot een geringer middelenbeslag.
De missie, visie en ambitie worden vertaald in meerjarenplannen met betrekking tot productportfolio,
strategie bedrijfsprocessen en besturing.
Binnen het ZBO zijn verschillende directies gedefinieerd, waaronder de directie ICT. De directie ICT zorgt
voor de ontwikkeling en het beheer van ICT-diensten en -producten die het primaire proces van het ZBO
ondersteunen. Die ICT-functie is mede bepalend voor de wijze waarop het ZBO haar dienstverlening
vormgeeft en voor de mate waarin zij door de klant wordt gewaardeerd. Binnen de Rijksoverheid worden
steeds verdergaande eisen gesteld aan behoorlijk bestuur. Het ZBO volgt deze ontwikkelingen
nauwlettend en conformeert zich hieraan. Als gevolg hiervan nopen diverse ontwikkelingen (zoals
integriteit, informatiebeveiliging, risicomanagement, Wet Bescherming Persoonsgegevens) tot integratie
en samenhang en dienen zij onderdeel van de bedrijfsvoering te worden alsmede in de jaarplancyclus te
worden geïntegreerd.
Het ZBO moet haar kosten voor de komende jaren als gevolg van de taakstelling aanzienlijk verminderen.
De inzet van flexibele externe capaciteit wordt zoveel mogelijk voorkomen door eigen medewerkers
36
breder inzetbaar te maken en daarvoor op te leiden. Opleidingen worden ook ingezet om eigen
medewerkers geschikt te maken voor werk dat nu nog door externen wordt uitgevoerd.
Het ZBO heeft een tiental doelstellingen gesteld. De drie meest relevante voor het onderwerp virtualisatie
zijn:
1. Het ZBO werkt aantoonbaar effectief en efficiënt in vergelijking met andere (uitvoerings) organisaties
en heeft zich extern laten toetsen voor een kwaliteitsonderscheiding in 2006;
2. De productiemiddelen (geld, leveranciers, communicatiemiddelen, huisvesting) worden effectief,
efficiënt, klant- en ketengericht ingezet om de beoogde resultaten te bereiken binnen de vastgestelde
budgetten;
3. De (primaire, ondersteunende en sturende) bedrijfsprocessen zijn optimaal, klant- en ketengericht
ingericht om de beoogde resultaten te bereiken.
Strategie bedrijfsprocessen
De inrichting van de bedrijfsprocessen zal de komende jaren moeten bijdragen aan de innovatie van de
dienstverlening aan de verschillende klantdoelgroepen. Innovatie zal zich de komende jaren in elk geval
richten op items als: de doorontwikkeling van elektronische dienstverlening, de koppeling met
ketenpartners en de inrichting en ontsluiting van basisregistraties. Deze vernieuwing kan pas goed
worden uitgevoerd als de technische infrastructuur hierop wordt voorbereid.
4.3 Het IT-beleid van het ZBO
Vanwege de gevoeligheid van de informatie is niet het hele IT-beleid van het ZBO in deze scriptie
uitgewerkt. De voor de casus meest relevante punten van het IT-beleid zijn hier opgesomd.
- Zo eenvoudig mogelijk;
- Platformonafhankelijk, leverancieronafhankelijk;
- Wereldstandaard en bewezen technologie;
- Marktconform;
- Up-to-date, maar niet voorop;
- Open, gelaagd, modulair;
- Herbruikbaar;
- Kosteneffectief;
- Betrouwbaar, schaalbaar, beheerbaar;
- Beveiligbaar.
37
4.4 Aanleiding tot de implementatie van virtualisatie
In de oude situatie waren er geen uitwijkmogelijkheden. De remmende factor hierbij waren de
operationele, maar gedateerde, Windows NT systemen (oftewel legacy systemen). De wens van het ZBO
was om een kostenefficiënte uitwijk te implementeren waarbij ook de NT legacy systemen gemigreerd
konden worden.
De OTAP-straat bij het ZBO was ook aan vernieuwing toe. Er was sprake van een situatie waarbij op
enkele fysieke servers een mix van OTAP-omgevingen draaide. Ook het opzetten van “teststraten” was
een tijdrovend proces. Het ZBO wilde de OTAP-straat professionaliseren om een meer beheersbare
situatie te creëren.
Verder werd voor elke toepassing een nieuwe server gekocht. Echter, 90% van deze servers was 98%
van de tijd inactief. Dit werd niet erg gevonden omdat altijd toch “maar een goedkope” server werd
aangeschaft. Feitelijk was een nieuwe fysieke server echter nooit echt goedkoop.
4.5 Besluitvorming
Om een nieuwe uitwijklocatie te realiseren en ook de OTAP-straat te professionaliseren waren er twee
scenario’s.
Scenario 1
Door de implementatie van een SAN7 in combinatie met fysieke servers zou de uitwijk gerealiseerd
kunnen worden. Ten opzichte van de oude situatie zou dit meer continuïteit in de bedrijfsvoering
betekenen als zich een calamiteit voordoet. De OTAP-omgevingen zouden volledig van elkaar worden
gescheiden door gebruik te maken van meerdere fysieke servers. De kans op ongeautoriseerd of per
ongeluk overzetten van onjuiste programmatuur naar de productieomgeving wordt hierdoor verlaagd. Het
gevolg is dat de beschikbaarheid, integriteit en vertrouwelijkheid van de systemen niet aangetast worden.
Windows NT zou vervangen worden door Windows 2003 Server. Windows NT is een oud
besturingssysteem dat op korte termijn niet meer ondersteund zal worden. Daarnaast zijn moderne
applicaties niet compatibel met Windows NT. Het invoeren van Windows 2003 Server leidt tot een betere
compatibiliteit met huidige applicaties en minder kans op inbraken omdat er sprake is van ondersteuning,
onder andere in de vorm van patches en updates. Hierdoor worden de beschikbaarheid van de systemen
en de vertrouwelijkheid en integriteit van data gewaarborgd, indien het beheer effectief verloopt. De twee
7 Een vereenvoudigde niet-technische beschrijving van een SAN is: gedeelde of gemeenschappelijke opslagfaciliteit.
38
voornaamste nadelen voor de IT-manager hier zijn de hoge hardware- en licentiekosten en de wildgroei
van fysieke servers, hetgeen de beheersbaarheid onoverzichtelijk maakt. Onoverzichtelijk beheer kan tot
menselijke fouten leiden waardoor het systeem open komt te staan voor hackers die ongeautoriseerd
toegang krijgen tot de data of die de beschikbaarheid van het systeem beïnvloeden.
Scenario 2
De uitwijklocatie zou gerealiseerd kunnen worden door middel van virtuele servers in combinatie met een
SAN. Verder zouden virtuele machines in de OTAP-straat gebruikt kunnen worden in plaats van fysieke
servers. Op de virtuele machines zou Windows 2003 server geïnstalleerd worden. Enkele NT systemen
die nog niet uitgefaseerd zijn kunnen naar de nieuwe omgeving gemigreerd worden. Vergeleken met
scenario 1 zijn er meerdere voordelen. Het gebruik van virtuele machines voor uitwijk betekent minder
downtime en met minder fysieke machines en dus meer continuïteit in de bedrijfsvoering in het geval van
een calamiteit. In de OTAP-omgeving wordt een grote efficiëntieslag behaald met virtuele servers. Virtuele
servers kunnen snel en eenvoudig gekopieerd worden, de verschillende omgevingen zijn identiek en de
IT-medewerkers krijgen tijd voor andere werkzaamheden. Voor de IT-manager betekent dit meer
productiviteit met minder hardwarekosten en mankracht. Daarnaast zijn de verschillende omgevingen
volledig van elkaar afgeschermd terwijl ze op dezelfde fysiek machine draaien. Ook legacy systemen
worden hardwareonafhankelijk en kunnen probleemloos op moderne hardware gedraaid worden.
Op het moment waarop een keuze moest worden gemaakt was het verschijnsel server virtualisatie erg
nieuw. Er was nauwelijks professionele kennis en ervaring op dit gebied binnen de IT-organisatie. Wel
had men ervaring met het concept van LPAR van IBM. Verder beschikten enkele beheerders over kennis
van het product Virtual PC, echter vanuit eigen hobby. Wel was er voldoende SAN kennis in huis.
Om tot een weloverwogen beslissing te komen werden externe deskundigen en interne adviseurs
ingeschakeld. Deze hebben verder gebruik gemaakt van op dat moment verkrijgbare relevante literatuur
om zich te verdiepen in de materie van virtualisatie. Ook de twee leveranciers VMware en IBM hebben
een bijdrage geleverd door toelichting te geven over de mogelijkheden van virtualisatie.
Uiteindelijk werd de keuze gemaakt voor virtualisatie. De IT-manager heeft deze keuze gemaakt, puur op
basis van de lage kosten. Hij realiseerde zich dat de keuze tegen het eigen beleid van het ZBO inging.
Het beleid zegt dat het ZBO up-to-date moet zijn wat betreft IT-oplossingen maar niet voorop mag lopen.
Dit om te voorkomen dat een instabiele “non-proven technology” tot verstoringen leidt in de
bedrijfsvoering. Ook de externe deskundigen hebben het gebruik van virtualisatie afgeraden, conform het
beleid.
39
Om virtualisatie te implementeren had men in die tijd de keuze uit twee oplossingen. Deze waren i/series
machines die meerdere logische partities (LPAR)8 bevatten of x86 servers die gebruik maken van
VMware. Overige producten zoals Microsoft Virtual PC en Xen van Linux waren toen geen optie. Xen
bestond nog niet en Microsoft Virtual PC werd niet geschikt bevonden voor professioneel gebruik.
Aangezien i/series servers duurder zijn dan x86 servers en VMware veel functionaliteiten bood en in die
tijd al stabiel en volwassen genoeg werd bevonden, is de keuze voor VMware gemaakt.
4.5.1 Argumentatie
De beoogde resultaten van de gekozen oplossing waren:
- Terugdringen complexiteit en afhankelijkheden van systemen;
- Terugdringen beheersinspanning;
- Hoge beschikbaarheid en continuïteit;
- Onderdelen snel migreerbaar en aanpasbaar;
- Kostenefficiënte ICT-infrastructuur.
Om dit te bewerkstelligen heeft de het ZBO de volgende oplossingen geïmplementeerd d.m.v.
virtualisatie:
- Consolidatie i/series servers en MS Windows servers;
- Inrichten SAN+uitwijk oftewel;
- Volledige scheiding van de ontwikkel-, test-, acceptatie- en productieomgeving;
- Gebruik van robuuste servers waardoor verstoringen verminderd worden.
De onderkende relaties met de primaire bedrijfsvoering zijn:
- Hoge beschikbaarheid van de primaire processen;
- Het gebruik van robuuste servers garandeert een lage downtime en levert impliciet besparingen in de
beheersfeer op;
- Server consolidatie maakt efficiënt gebruik van resources met als gevolg kostenbesparing op het
gebied van investeringen en beheer.
40
4.5.2 Kostencalculatie
Kostenbesparing is het belangrijkste argument geweest dat geleid heeft tot implementatie van
virtualisatie. Een nauwkeurige kostencalculatie ontbreekt vanwege de gevoeligheid van de informatie.
Desondanks wordt in deze paragraaf een ruwe schatting gegeven van kosten met en zonder virtualisatie.
De onderstaande schatting is gebaseerd op een totaal aantal van 30 virtuele servers op een enkele
fysieke server in geval virtualisatie wordt toegepast. Case Virtuele servers Kosten Case Fysieke servers Kosten 1 fysieke server + VMware licentie + overige niet Microsoft licenties
€ 75000,- 30 fysieke servers + overige niet Microsoft licenties
€150000,-
TCO door flexibel beheer als gevolg van virtualisatie
Laag TCO door beheer elke fysieke server
Hoog
Tabel 5. Kostenindicatie virtualisatie.
De kosten van het SAN zijn bewust niet meegenomen in deze indicatie. Het SAN was al gepland bij het
ZBO en zou ook zonder virtualisatie zijn aangeschaft. Dat het in beheer hebben van een SAN grote
voordelen biedt in combinatie met het gebruik van VMware om uitwijk te realiseren was een mooie
bijkomstigheid.
4.6 Voor- en nadelen
In het inrichtingsplan heeft het ZBO ook rekening gehouden met de voor- en nadelen van de gekozen
oplossingen. Door het gebruik van virtualisatie worden processor- en geheugencapaciteit zeer efficiënt
benut en is het mogelijk om zowel horizontaal (meer servers per applicatie) als verticaal (meer capaciteit
per server) te kunnen schalen. Dit leidt tot een hoge mate van flexibiliteit. Vooral omdat in de meeste
gevallen er geen last wordt ondervonden van het uitzetten van machines. Door horizontale en verticale
schaling middels virtualisatie zijn de systemen langere tijd actief en zijn de productiviteit en
beschikbaarheid hoger.
Verder worden door consolidatie het ruimtegebruik en het stroomverbruik beperkt. Het voordeel hiervan is
dat de IT-manager minder geld hoeft uit te geven aan facilitaire aspecten. Dit werkt positief door in zijn
TCO waardoor deze lager uitkomt.
41
Elke virtuele machine kan worden opgeslagen als één file, hierdoor wordt de beheersbaarheid sterk
vergroot9:
- Back-ups van servers kunnen op dezelfde wijze als conventionele bestanden back-ups plaatsvinden
en indien nodig teruggezet.
- Zonder aanschaf van extra hardware en zonder een machine te configureren kan snel een server
(bijvoorbeeld voor een nieuw project) operationeel worden gemaakt.
- Het kopen, inrichten, duurtesten van de hardware en tunen van een nieuwe server kost dan geen
dagen, maar hooguit enkele uren.
- Er kan alvast een standaardserver worden klaargezet die getest is op functioneren, beveiliging, etc.
Op basis van deze serverbaseline is dus snel een nieuwe server te installeren. Standaardisatie van
serverconfiguraties is op deze manier eenvoudiger te realiseren.
- Doordat een reeds geïnstalleerde server als file wordt gekopieerd op andere hardware, is op die
manier heel eenvoudig van bijvoorbeeld een productieserver een kopie te maken voor andere
omgevingen.
- Er kan gewerkt worden met een virtuele server repository, hetgeen niets anders betekent dan dat alle
servers als file zijn opgeslagen en overal in het netwerk geplaatst kunnen worden, zonder dat dit
fysiek ingrijpen behoeft.
- Omdat veel onderhoudswerk kan plaatsvinden zonder dat de machine uitgezet hoeft te worden wordt
de downtime fors teruggebracht.
Op het moment waarop het project in gang was, heeft Gartner gewaarschuwd voor een aantal nadelen.
Deze betroffen toen mogelijke server verstoringen als gevolg van “memory leaks”. Een ander aspect was
dat niet alle applicaties geschikt waren om op virtuele machines te draaien. Voor de bedrijfsvoering
betekende dit minder beschikbaarheid van die systemen en dus minder productiviteit voor de organisatie.
Na implementatie van virtualisatie heeft ZBO kunnen vaststellen wat de echt gerealiseerde winst was.
Een beknopte omschrijving van de behaalde winst is, samen met de vastgestelde voordelen, in
onderstaande tabel opgenomen:
9 Zie ook de voordelen genoemd in hoofdstuk 2.
42
Behaalde winst Van toepassing zijnde kwaliteitsaspecten Een flexibele, betrouwbare en beheersbare hardware oplossing.
Verbetering schaalbaarheid, effectiviteit en beschikbaarheid van de hardware.
Op één fysiek machine á €4000,- tot ongeveer 50 virtuele servers actief.
Verbetering efficiëntie.
1 VMware licentie per 8 CPU multiprocessor machine (verder geen verschil voor Microsoft licenties).
Verbetering efficiëntie en effectiviteit.
Technisch veel volwaardigere servers. Verbetering effectiviteit en beschikbaarheid. Technische afschrijving 4 à 5 jaar. Verbetering efficiëntie en effectiviteit. Virtuele servers kunnen ook ingezet worden voor zwaarbelaste servers zoals database servers en webapplicatie servers.
Verbetering efficiëntie en effectiviteit.
Machinepark overzichtelijk, bijvoorbeeld i.h.k.v. vervanging.
Verbetering effectiviteit en beheersbaarheid.
Machines zijn eenvoudiger en sneller te kopiëren. Verbetering flexibiliteit, efficiëntie, portabiliteit en effectiviteit.
Niet elk half jaar een nieuw type server. Verbetering efficiëntie en effectiviteit. 7x24 beschikbaarheid. Verbetering beschikbaarheid en effectiviteit. Up-to-date technologie m.b.t. virtualisatie. Verbetering effectiviteit en schaalbaarheid.
Tabel 6. Relatie tussen de behaalde winst en de kwaliteitsaspecten.
Ook de knelpunten en nadelen zijn na de implementatie gesignaleerd.
Gesignaleerde knelpunten Invloed op kwaliteitsaspecten SAN is mooi en duur, maar de virtuele schijven zijn (nog) niet flexibel genoeg.
Minder flexibiliteit en effectiviteit.
MS Windows clustering nog niet compatibel met VMware.
Minder flexibiliteit en effectiviteit.
SAP draait alleen op fysieke servers. Minder effectiviteit en efficiëntie. VMware ondersteunt niet alle hardware. Minder flexibiliteit, efficiëntie en effectiviteit. Geheugen is uit technisch oogpunt nog steeds de beperkende factor.
Minder effectiviteit en efficiëntie.
Tabel 7. Relatie tussen de knelpunten en de kwaliteitsaspecten.
4.7 Beheerorganisatie
De IT manager van het ZBO gaf aan dat er gedurende het project weinig aandacht was besteed aan de
impact van virtualisatie op de IT-organisatie. Dit ten onrechte, omdat er zeker aanleiding was om de
organisatorische aspecten mee te nemen, gezien het volgende voorbeeld.
Door de impact van virtualisatie is er een nieuwe cluster ontstaan. Beheerders van de virtualisatie
software hebben in principe toegang tot alle virtuele machines. Het beheren van de virtualisatie software
VMware samen met het beheer van de virtuele machines heeft functievermenging tot gevolg. Deze
ongewenste situatie is opgelost door -met behoud van hetzelfde aantal medewerkers- een aparte
beheercluster op te richten die zich alleen bezighoudt met VMware.
43
4.8 Informatiebeveiliging
Op het SAN worden onder andere virtuele machines oftewel server configuratiebestanden opgeslagen.
Het SAN is in feite het hart van nagenoeg alle virtuele oplossingen. Toegangsbeveiliging met betrekking
tot het SAN en de daarop opgeslagen bestanden is daarom van essentieel belang. Dit risico is ook door
het ZBO onderkend. Door getroffen technische maatregelen zijn het SAN en de opgeslagen bestanden
gesegmenteerd en dus niet voor iedereen benaderbaar. Ook het aftappen is moeilijk omdat het SAN
gebruik maakt van glasvezel. Verder is het beheernetwerk gescheiden van het datanetwerk.
De virtualisatie software VMware ESX server was voor de meeste beheerders onbekend. Hierdoor was er
een verhoogd risico op een niet-effectief en –efficiënt beheer. Dit betekende dat er een risico bestond dat
beheerders te veel tijd nodig hadden om bepaalde taken op de ESX server uit te voeren. Maar ook de
kans op fouten was hoog. Fouten kunnen leiden tot verstoringen maar ook tot ontsluiting van informatie
door onbevoegden. Bij het ZBO gaat het om vertrouwelijke persoonsgegevens en maar ook om financiële
informatie. Ook de aandacht van hackers voor virtualisatie was een reële bedreiging. Om een effectief en
efficiënt beheer te voeren en op de hoogte te zijn van kwetsbaarheden en bekende aanvallen, heeft het
ZBO veel aandacht besteed aan het opleiden van de medewerkers.
VMware ESX biedt verder de mogelijkheid om door middel van virtuele netwerkcomponenten complexe
virtuele netwerken op te zetten. Het ZBO is op dit gebied terughoudend geweest vanwege de
onbeheersbaarheid die kan ontstaan. De grootste zorg was wie verantwoordelijk zou moeten worden voor
alle virtuele netwerkcomponenten in de diverse virtuele netwerken. Het ZBO maakt op dit moment bewust
geen gebruik van deze functionaliteit in VMware ESX server.
In het volgende hoofdstuk zal deze casus getoetst worden aan Cobit.
44
5 Toepassing van Cobit op de praktijkcasus 5.1 Inleiding
Van de behandelde raamwerken is Cobit m.i. het meest volledige. De bedoeling in dit hoofdstuk is om
vast te stellen in hoeverre de praktijkcasus aan Cobit voldoet. Vanaf dit punt zal ik vervolgens Cobit 4.0
als uitgangspunt nemen om tot een virtualisatie raamwerk te komen. In de volgende paragraaf wordt de
gehanteerde werkwijze toegelicht. Vervolgens zal de praktijkcasus uitgewerkt worden.
5.2 Werkwijze
Om de hele casus aan alle Cobit processen te gaan toetsen kost enerzijds veel inspanning en tijd, terwijl
anderzijds niet alle processen even relevant zijn voor het onderwerp van deze scriptie. Daarom wordt
eerst een selectie gemaakt van een aantal relevante Cobit processen. Er zullen processen uit alle
domeinen geselecteerd worden zodat de hele casus in beschouwing wordt genomen. De meer technisch
georiënteerde IT-processen worden bewust niet in beschouwing genomen. Elk Cobit hoofdproces bestaat
uit meer gedetailleerde subprocessen. De toets zal alleen gericht zijn op de opzet. Er zal gebruik worden
gemaakt van 5 Cobit hoofdprocessen. Het vaststellen van het bestaan en beoordelen van de werking
vallen buiten de scope van deze scriptie.
Het doel van deze exercitie is om na te gaan of wij “blinde vlekken” in de praktijkcasus kunnen
identificeren c.q. om aan de hand van Cobit vast te stellen in hoeverre aandacht is besteed aan relevante
IT-processen tijdens het implementatietraject van virtualisatie bij het ZBO10. In het volgende hoofdstuk zal
vervolgens systematisch worden toegewerkt naar een (aanzet tot een) algemeen toepasbare raamwerk
dat de hele virtualisatiemanagementcyclus afdekt.
10 Het resultaat van deze oefening zegt niets over de kwaliteit van bedrijfsvoering binnen het ZBO of de IT-afdeling.
Het ZBO heeft volledig meegewerkt om de in deze scriptie gebruikte informatie te leveren. Het doel van de toetsing
is dus niet om een oordeel te vormen over de bedrijfsvoering bij het ZBO, maar dient slechts als een tussenweg naar
een generiek virtualisatie raamwerk. Het resultaat van de oefening dient puur vanuit educatief oogpunt te worden
bezien.
45
5.3 Beoordeling van de opzet
De volgende vijf geselecteerde Cobit IT-processen zijn uitgewerkt volgens het S(ituatie) P(robleem)
R(isico) O(orzaak) A(anbeveling) principe. PO3 Determine technological direction that satisfies the business requirement for IT of having stable and cost-effective integrated and standard application systems, resources and capabilities that meet current and future business requirements by focusing on defining and implementing a technology infrastructure plan, architecture and standards that recognise and leverage technology opportunities. Situatie: Het ZBO heeft een Technologieplan opgesteld voor de technische infrastructuur. In dit plan wordt de technologische richting toegelicht. De verschillende technische keuzes voor de periode van 2004 tot 2008 en migratiestrategieën zijn uitgewerkt. Probleem: Geen Risico: Geen – Het risico dat IT investeringen op ad-hoc basis worden genomen is minimaal. Oorzaak: Geen Aanbeveling: Geen
PO5 Manage IT investment that satisfies the business requirement for IT of continuously and demonstrably improving IT’s cost-efficiency and its contribution to business profitability with integrated and standardised services that satsify end-user expectations by focusing on effective and efficient IT investment and portfolio decisions, and by setting and tracking IT budgets in line with IT strategy and investment decisions. Situatie: Er is geen informatie ontvangen omtrent een besluitvormingproces, prioritering van IT-projecten en IT budgetteringsproces. De IT afdeling heeft wel inzicht in de huidige IT kosten. Volgens mededeling is ook de winst door virtualisatie zichtbaar en meetbaar. Probleem: Het is niet duidelijk hoe investeringen tot stand komen en of de beschikbare budgetten optimaal benut worden. Risico: De kans bestaat dat “niet winstgevende” investeringen gedaan worden of dat begrote budgetten overschreden worden waardoor de organisatie waardeverlies lijdt. Oorzaak: Er wordt geen gebruik gemaakt van een Financial Management raamwerk ten behoeve van IT-investeringen. Aanbeveling: Stel een Financial Management model op waarin lopende en toekomstige projecten zijn opgenomen met bijbehorende kosten en begrotingen. Op deze manier is de uitputting van het budget meer inzichtelijk en kan er betere sturing plaatsvinden ten gunste van een efficiënte bedrijfsvoering.
AI3 Acquire en maintain technological infrastructure that satisfies the business requirement for IT of acquiring and maintaining an integrated and standardised IT infrastructure by focusing on providing appropriate platforms for the business applications in line with the defined IT architecture and technology standards. Situatie: Er is geen informatie ontvangen omtrent acquisitieplannen. Verder is wel aandacht besteed aan de beschikbaarheid van configuratiebestanden van virtuele machines en de afscherming van deze bestanden op het SAN. Virtualisatie wordt gebruikt in de OTAP-straat om juist een goede scheiding te verkrijgen tussen de verschillende omgevingen. Volgens mededeling geschiedt het proces Change Management van virtuele machines volgens het algemene Change Management proces. Probleem: Er zijn geen richtlijnen voor de aanschaf van apparatuur en programmatuur die aansluiten op de bestaande systemen. Risico: Het ontbreken van acquisitieplannen kan leiden tot onderlinge incompatibiliteit tussen systemen en maakt het beheer complexer, wat de kans op verstoringen verhoogt. Oorzaak: Omdat technologie dynamisch is, wil het ZBO qua aanschaf van soft- en hardware flexibel zijn om de toekomstige technologische ontwikkelingen te kunnen volgen. Hierdoor is de aanschaf van gestandaardiseerde producten niet geformaliseerd. Aanbeveling: Overweeg om op hoofdlijnen toch een acquisitieplan op te stellen waarin o.a. aandacht wordt besteed aan virtualisatie en compatibiliteit met andere producten.
46
DS6 Identify and allocate costs that satisfies the business requirement for IT of transparency and understanding of IT costs and improving cost-efficiency through well-informed use of IT services by focusing on complete and accurate capture of IT costs, a fair system of allocation agreed-upon by business users, and a system for timely reporting of IT use and costs allocated. Situatie: Er is geen informatie ontvangen omtrent de koppeling van IT kosten aan bedrijfskosten en aan een kostenmodel. Probleem: Het is onduidelijk hoe de IT-middelen verdeeld zijn over de diverse diensten en hoe ze benut worden door de diverse afnemers. Risico: Het risico bestaat dat onjuiste tarieven in rekening worden gebracht aan de overige bedrijfsonderdelen. Dit kan van invloed zijn op het budget van de IT-organisatie of kan ertoe leiden dat afnemers de kosten als te hoog ervaren. Oorzaak: De IT-organisatie van het ZBO heeft alleen te maken met interne afnemers. Verleende diensten worden niet rechtstreeks verrekend met andere bedrijfsonderdelen. Aanbeveling: Voor een grotere efficiëntie en effectiviteit van de processen binnen de het ZBO is het verstandig om de kosten in kaart te brengen die gemoeid zijn met aangeboden diensten aan de afnemers.
DS7 Educate and train users that satisfies the business requirement for IT of effective and efficient use of applications and technology solutions and user compliance with policies and procedures by focusing on a clear understanding of IT user training needs, execution of an effective training strategy and measurement of the results. Situatie: Het ZBO onderkent de noodzaak van trainingen en cursussen. In het geval van virtualisatie heeft het ZBO de beheerders en specialisten naar een VMware training gestuurd. Probleem: Geen Risico: Geen – Door het volgen van cursussen en trainingen hebben de beheerders de benodigde kennis vergaard om de hun werk effectief te kunnen uitvoeren. Oorzaak: Geen Aanbeveling: Geen
Tabel 8. Toepassing van een selectie van Cobit IT-processen op de praktijkcasus.
5.4 Conclusie
Geconcludeerd kan worden dat tijdens het virtualisatietraject niet voldoende aandacht is besteed aan
relevante Cobit IT-processen. Uit de casus blijkt dat er weinig aandacht is besteed aan financieel
management, prioritering van IT-projecten en het IT budgetteringsproces. Het risico bestaat dat
geïnvesteerd wordt in virtualisatie op basis van argumenten die niet in lijn zijn met de bedrijfsstrategie. Dit
kan betekenen dat de investering niet dienstig is aan het behalen van de organisatiedoelstellingen en dat
de organisatie helemaal geen of alleen beperkte winst haalt uit de investering.
Wat betreft de aanschaf van het virtualisatie product en hardware zijn er geen acquisitieplannen
aangetroffen. Het risico bestaat dat er teveel wordt betaald of dat de producten niet op een bepaalde
standaard zijn gebaseerd en dus niet compatibel zijn met producten van andere fabrikanten in de huidige
infrastructuur. Het gevolg hiervan is verstoringen en een lagere beschikbaarheid dan beoogd, hetgeen
kan leiden tot correctieve maatregelen die weer extra uitgaven vereisen.
Een andere geconstateerde tekortkoming is het ontbreken van een kostenmodel om de IT kosten te
47
koppelen aan de bedrijfskosten. Het risico bestaat dat de afnemers een te laag of te hoog tarief betalen
voor de geleverde diensten. In beide gevallen is dit niet gunstig voor de aanbieder. Verder is er geen
betrouwbare informatie beschikbaar waarmee sturing kan worden gegeven aan de geboden diensten en
tarieven.
Ook vermeldenswaardig is het feit dat virtualisatie transparant is voor de eindgebruikers. Bij een audit
naar virtualisatie zal de aandacht dus met name gericht zijn op de IT aanbodkant. In het volgende
hoofdstuk zal een virtualisatiemodel geïntroduceerd worden.
48
6 Virtualisatiemanagementcyclus: model en uitwerking 6.1 Inleiding
In dit hoofdstuk zal op basis van de informatie uit de vorige hoofdstukken een
virtualisatiemanagementcyclus worden ontwikkeld. Per fase in deze cyclus zullen de aandachtspunten
worden aangegeven. Deze aandachtspunten worden aan de hand van Cobit, ITIL en Norea
geconcretiseerd naar een algemeen toepasbare virtualisatie raamwerk. Ook zullen de relevante
kwaliteitsaspecten worden aangegeven.
6.2 Uitgangspunten
De volgende uitgangspunten [36] zullen worden gehanteerd bij het opstellen en uitwerken van de
virtualisatiemanagementcyclus.
- De voornaamste redenen om in virtualisatie te investeren zijn betere benutting van hardware,
vermindering van hardware en onderhoudskosten van minimaal 30% en vermindering van
softwarelicentiekosten;
- Virtualisatie biedt de mogelijkheid om servers te migreren zonder dat er onderbreking plaatsvindt. De
beschikbaarheid wordt verhoogd vanwege een vermindering van geplande downtime voor onderhoud.
Hierdoor neemt ook de productiviteit van de IT-afdelingen toe;
- Door gebruik te maken van een gemeenschappelijke opslagfaciliteit (SAN) wordt de flexibiliteit
geschapen om op een willekeurig fysieke server een virtuele machine op te starten. Hierdoor verloopt
ook het op- en afbouwen van verschillende omgevingen snel, waardoor de productiviteit omhoog gaat
en de kosten voor ontwikkeling, test en disaster recovery afnemen. Om ongeplande downtime op te
vangen kan virtualisatie een oplossing bieden in de vorm van high-availability waarbij met behulp van
minder hardware automatische recovery plaatsvindt;
- Virtualisatie maakt het disaster recovery proces minder complex en arbeidsintensief. Vooral bij veel
gebruikte besturingsystemen zoals Windows en Linux is dit een pluspunt.
6.3 Virtualisatiemanagementcyclus
De virtualisatiecyclus is tot stand gekomen als synthese van de kernpunten uit de vorige hoofdstukken.
Analoog aan de managementcyclus in hoofdstuk 3 kan specifiek voor het virtualisatietraject ook een
cyclus worden opgesteld. De belangrijkste fasen die expliciet genoemd worden in de virtualisatiecyclus
49
komen voornamelijk voort uit de praktijkcasus in hoofdstuk 4. Hierbij is ook rekening gehouden met de
mogelijke toepassingen van virtualisatie en aandachtspunten vermeld in hoofdstuk 2 en 3.
De aanleiding tot virtualisatie vloeit voort uit de business-IT alignment eisen en bedrijfsdoelstellingen. In
dit specifieke geval gaat het erom dat IT op een efficiënte en effectieve wijze de business ondersteunt. De
aandachtspunten hierbij zijn de bedrijf- en IT-strategie en het IT-beleid.
Nadat de IT-manager onderkend heeft dat er geïnvesteerd dient te worden in IT om de efficiëntie en
effectiviteit van IT - en dus van de business - te verbeteren, vindt er een vooronderzoek plaats. Dit
vooronderzoek kan in principe breed zijn. De huidige TCO, prestaties van afdelingen en benutting van
serverprocessorcapaciteit en bijbehorende knelpunten dienen eerst in kaart te worden gebracht. Ook de
principes, voor- en nadelen van de verschillende virtualisatie producten worden in deze fase
geanalyseerd.
Figuur 7. De virtualisatiemanagementcyclus met onderkende relevante fasen.
6. Evaluatie &
monitoring
2. Vooronderzoek
1. Business behoefte
5. Beheer & exploitatie
4. Acquisitie & implementatie
3. Besluitvorming
50
Voorafgaande aan een beslissing wordt een business case opgesteld. Deze bevat onder meer een
kostenanalyse, impactanalyse op de bestaande systemen en organisatie, gemoeide risico’s, verwachte
ROI en verwachte niet-financiële baten. De totstandkoming van de definitieve besluitvorming is ook een
punt van aandacht. Hierbij spelen de bevoegdheden en prioritering van investeringen een rol.
De business case dient als input voor de aanschaf van soft- en hardware. Er worden offertes
aangevraagd en vergeleken waarna er keuzes worden gemaakt voor producten en leveranciers. Na
aanschaf worden zowel soft- als hardware geconfigureerd en geïnstalleerd. Doorlooptijd en budget zijn
essentieel in deze fase. Niet minder belangrijk is om de gebruikers op te leiden in de bediening en het
gebruik van de nieuwe systemen.
Op het gebied van beheer zijn wijzigingsbeheer, versiebeheer, licentiebeheer, capaciteitsbeheer,
autorisatiebeheer en back-up & recovery van belang. Ook de bestede uren aan opdrachten, gemaakte
kosten en de kwaliteit van de dienstverlening zijn relevante aspecten. Een bijkomend punt van aandacht
is de informatiebeveiliging van de configuratiebestanden van de virtuele machines. Verder is het van
belang dat de nodige functiescheiding is aangebracht binnen de beheerorganisatie. Beheerders van de
virtualisatielaag en de virtuele machines dienen gescheiden te zijn van beheerders van het
besturingssysteem en applicatie.
In de monitoring- en evaluatiefase wordt geanalyseerd of de beoogde baten door middel van virtualisatie
zijn gehaald. Hierbij gaat het om zowel financiële als niet-financiële zaken. In het geval van virtualisatie
gaat het hier voornamelijk om de kwaliteitsaspecten efficiëntie, effectiviteit, vertrouwelijkheid, integriteit en
beschikbaarheid. Verder wordt ook gekeken in hoeverre aan de service levels wordt voldaan.
Elke fase is verder uitgewerkt door gebruik te maken van Cobit [33], ITIL [35], Norea geschrift no.1 [31] en
de onderkende nadelen/knelpunten in de vorige hoofdstukken. Alleen de virtualisatiespecifieke
aandachtspunten zijn genoemd.
51
Business behoefte
Vooronderzoek Besluitvorming Acquisitie en implementatie
Beheer en exploitatie
Evaluatie en monitoring
IT-strategie
Kennis vergaren Business case Aanschaf middelen Organisatie Kostenbaten analyse
IT-beleid Marktanalyse Project- prioritering
Training en opleiding Wijzigingsbeheer Prestatieanalyse
Inzicht TCO Bevoegdheden Standaardisatie Kostenbeheer Audits Identificeren
knelpunten Risicoanalyse Migratie Versiebeheer SLA
Impactanalyse Capaciteitsbeheer Kosten/baten-
analyse Autorisatiebeheer
Licentiebeheer Back-up & restore Patch - en release
beheer
Informatiebeveiliging
Tabel 9. Fasen van de virtualisatiecyclus met onderliggende aandachtsgebieden.
Het is aan de IT-auditor om zijn/haar deskundigheid te gebruiken om de link te leggen met andere IT-
processen. In tabel 9 staat een overzicht van alle fasen uit de virtualisatiemanagementcyclus en de
onderliggende risicovelden.
6.4 Uitwerking virtualisatiemanagementcyclus
De opzet van het virtualisatie raamwerk is als volgt. In de eerste kolom wordt het aandachtspunt vermeld
waarna in de tweede kolom mogelijke risico’s worden uitgestippeld. In de derde kolom worden richtlijnen
gegeven gerelateerd aan het aandachtspunt en bijbehorende risico’s. In de laatste kolom staan de
kwaliteitsaspecten die van toepassing zijn.
52
Fase virtualisatiecyclus Risico Richtlijnen Kwaliteitsaspecten Business behoefte IT-strategie en –beleid. Indien er geen duidelijk en
actueel IT-beleid en IT-strategie zijn, of deze zijn niet bekend binnen de IT-organisatie bestaat enerzijds de kans dat verkeerde IT-investeringen worden gestart die geen toegevoegde waarde hebben voor de organisatie. Anderzijds kunnen IT-managers kansen voorbij laten gaan omdat ze niet op de hoogte zijn van de business behoefte.
IT managers dienen op de hoogte te zijn van de technologische ontwikkelingen. Zij dienen kansen te identificeren die in lijn zijn met de IT-strategie en IT-beleid om de bedrijfsdoelstellingen te realiseren. De IT-strategie en IT-beleid dienen actueel en bekend te zijn bij de IT-manager. De doelstellingen die aanleiding zijn tot het initiëren van een IT-project dienen aan te sluiten op de IT-strategie en IT-beleid en dienen duidelijk te zijn geformuleerd.
Effectiviteit, efficiëntie.
Vooronderzoek Kennisvergaring Bij initiëren van een project
zonder enige kennis of vooronderzoek van de mogelijkheden van virtualisatie bestaat de kans dat op basis van onjuiste uitgangspunten een bepaalde investering wordt gedaan die op termijn geen winst oplevert voor de organisatie.
De IT-manager dient zich te verdiepen in de techniek van virtualisatie of kan zich laten informeren door specialisten wat virtualisatie inhoudt en wat de mogelijke toepassingen zijn.
Effectiviteit.
Marktanalyse Door het ontbreken van kennis omtrent beschikbare virtualisatieproducten op de markt bestaat de kans dat niet voor de meest bruikbare of een gestandaardiseerde oplossing wordt gekozen. Het risico bestaat dat het product niet compatibel is met bestaande en overige systemen of dat het product niet voorzien is van alle gewenste functionaliteiten. Dit kan leiden tot verstoringen en extra investeringen vanwege van correctieve maatregelen.
De IT-manager dient zorg te dragen dat informatie wordt ingewonnen bij meerdere leveranciers zodat de mogelijkheden en tekortkomingen van alle relevante producten in kaart worden gebracht.
Effectiviteit.
Inzicht TCO Zonder kennis van de huidige TCO is het moeilijk om te sturen op efficiëntie. Een mogelijke investering in virtualisatie zou niet de gewenste efficiëntie opleveren door dit gebrek aan inzicht.
De IT-manager dient inzicht te hebben in de huidige TCO. Hij dient op de hoogte te zijn van de verschillende kosten die deel uitmaken van de TCO. Hierbij hoort ook de huidige benutting van de processorkracht van alle servers.
Effectiviteit, efficiëntie.
Identificeren knelpunten Indien de IT-manager geen inzicht heeft in de technische, organisatorische of financiële knelpunten bestaat het risico dat het project tussentijds wordt gestaakt waardoor de organisatie toch enig verlies lijdt.
De IT-manager dient tijdig eventuele knelpunten die de implementatie van virtualisatie met zich meebrengt te onderkennen. Ook dient hij te onderzoeken hoe deze knelpunten opgelost kunnen worden.
Effectiviteit.
53
Fase virtualisatiecyclus Risico Richtlijnen Kwaliteitsaspecten Besluitvorming Risicoanalyse De implementatie van
virtualisatie brengt risico’s met zich mee die de andere kwaliteitsaspecten zoals vertrouwelijkheid, integriteit en beschikbaarheid kunnen aantasten.
De IT-manager dient een risicoanalyse te laten uitvoeren om alle risico’s in kaart te brengen en om de nodige maatregelen te treffen.
Beschikbaarheid, vertrouwelijkheid, integriteit, controleerbaarheid, effectiviteit en efficiëntie.
Impactanalyse De implementatie van virtualisatie kan impact hebben op de bestaande systemen of op de organisatie. Dit kan leiden tot verstoringen of onduidelijkheid in werkprocedures en de taakverdeling.
De IT-manager dient te laten onderzoeken wat voor impact virtualisatie heeft op de bestaande systemen en organisatie.
Allemaal.
Kosten/batenanalyse Zonder een degelijke kostenanalyse is het onduidelijk of de investering in virtualisatie besparing zal opleveren en ook hoeveel deze besparing bedraagt. Het risico bestaat dat het project niet wordt goedgekeurd omdat het geen draagvlak heeft of dat na de investering geen besparing wordt behaald.
Er dient een kosten/batenanalyse plaats te vinden. Tenminste de financiële baten dienen meegenomen te worden in deze analyse. Er dient gebruik te worden gemaakt van een kapitaalbudgetteringsmethode. Een veel gebruikte methode is de ROI.
Effectiviteit, efficiëntie.
Business case Door het ontbreken van een business case is het moeilijk te beoordelen of een project een toegevoegde waarde heeft voor de organisatie. Het risico bestaat dat IT-projecten die van betekenis zijn worden afgekeurd vanwege de business case of dat anderzijds business cases onterecht worden goedgekeurd die achteraf geziengeen toegevoegde waarde hebben.
Er dient een degelijke business case aanwezig te zijn. In de business case dienen alle voor- en nadelen te zijn vermeld en ook wat de beoogde winst zal zijn. Ook zaken zoals doorlooptijd, impactanalyse, risicoanalyse en de gemoeide projectkosten maken onderdeel uit van de business case.
Effectiviteit.
Bevoegdheden Zonder duidelijke verdeling van bevoegdheden kunnen verkeerde beslissingen worden genomen inzake IT-investeringen binnen een organisatie. Dit kan ertoe leiden dat verlies wordt geleden.
Alleen deskundige functionarissen dienen bevoegdheid te hebben om beslissingen te neme inzake IT-investeringen. Zij dienen op de hoogte te zijn van het IT-beleid en van de mogelijkheden van virtualisatie.
Effectiviteit, efficiëntie
54
Fase virtualisatiecyclus Risico Richtlijnen Kwaliteitsaspecten Prioritering projecten Door het ontbreken van een
prioriteringsmechanisme voor IT-investeringen kunnen de verkeerde projecten prioriteit krijgen waardoor er kansen gemist worden en de organisatie de aansluiting mist met de ontwikkelingen. Ook bestaat het risico dat te dure IT-investeringen worden gedaan waar virtualisatie ook had gekund.
Het virtualisatie investeringsproject dient onderdeel te zijn van een IT- portfolio. De IT-strategie en IT-beleid zijn leidend voor de IT portfolio, in die zin dat projecten juist worden geïdentificeerd en de correcte prioritering krijgen. Bij de goedkeuring en prioritering van projecten dient rekening te worden gehouden met het beschikbare budget, de ROI, niet-financiële baten en aanvaarde risico’s. Inzicht in de huidige beheer- en exploitatiekosten en de IT- portfolio dient hier als input.
Effectiviteit, efficiëntie.
Acquisitie & implementatie
Aanschaf van middelen Zonder duidelijke procedures omtrent de aanschaf van middelen bestaat het risico dat teveel geld wordt uitgegeven aan virtualisatie gerelateerde investeringen.
Acquisitie van virtualisatie software en bijbehorende hardware dient te geschieden d.m.v. een offerteprocedure.
Efficiëntie.
Standaardisatie Indien gebruik wordt gemaakt van niet-gestandaardiseerde producten bestaat het risico dat systemen niet compatibel zijn met elkaar. Dit kan leiden tot verstoringen en extra investeringen.
Zowel voor soft- als hardware geldt dat er gebruik gemaakt dient te worden van gestandaardiseerde producten of “proven technology”. De organisatie dient te bewaken dat leverancieronafhankelijkheid gewaarborgd blijft.
Effectiviteit, efficiëntie, beschikbaarheid.
Migratie Een mix van fysieke en virtuele servers zonder enige logische structuur kan leiden tot onoverzichtelijkheid en onnodige complexiteit. Hierdoor kunnen door menselijke vergissingen de verschillende kwaliteitsaspecten worden aangetast.
Er dient een migratiestrategie beschreven te zijn. Deze migratiestrategie dient bekend te zijn binnen de organisatie en dient ook nageleefd te worden.
Effectiviteit, integriteit, vertrouwelijkheid, beschikbaarheid.
Training en opleiding Het niet kunnen bedienen van de nieuwe soft- en hardware leidt tot fouten welke invloed kunnen hebben op de verschillende kwaliteitsaspecten.
Medewerkers die belast zijn met het beheer van de virtualisatiesoftware, de SAN en de servers dienen trainingen te gaan volgen.
Effectiviteit, integriteit, vertrouwelijkheid, beschikbaarheid.
Beheer & exploitatie Organisatie Indien in de beheerketen
beheerders meerdere taken uitvoeren waarbij ook nog alle bevoegdheden binnen één functie ligt, kan dit leiden tot functievermenging. Het gevolg is dat misbruik kan worden gemaakt van de systemen zonder dat dit te achterhalen is. Er is geen “tegengesteld belang” in de keten aanwezig om een adequaat AO/IC te waarborgen.
Er dient functiescheiding te zijn tussen het beheer van de virtuele machines en het beheer van het guest besturingssysteem en bijbehorende applicatie op de virtuele servers.
Integriteit, beschikbaarheid, vertrouwelijkheid.
55
Fase virtualisatiecyclus Risico Richtlijnen Kwaliteitsaspecten Wijzigingsbeheer Het onbeheerst aanmaken van
virtuele machines leidt tot onoverzichtelijkheid wat het beheer niet ten goede komt. Hierdoor kunnen fouten worden gemaakt waardoor de BIV kwaliteitsaspecten worden beïnvloed. Door de portabiliteit van virtele machines kan met weinig inspanning complete servers worden verplaatst. Dit is ook een risico bij onbeheerst transport van virtuele servers naar de productieomgeving.
Er dienen duidelijke procedures te zijn beschreven betreffende de aanvraag, aanmaak, transport en beheer van virtuele servers. Logging en controle op naleving zijn essentieel in dit geval om het wijzigingsbeheer proces te ondersteunen.
Integriteit, beschikbaarheid, vertrouwelijkheid.
Kostenbeheer Geen inzicht hebben in de aanschaf en beheerkosten na implementatie van virtualisatie maakt het onmogelijk om te bepalen of virtualisatie het gewenste effect heeft gehad en maakt sturing ook onmogelijk. Hierdoor wordt een gekleurd beeld geschapen van de investering.
Stel een financieel model op om de gemaakte kosten die gemoeid zijn met de invoering van virtualisatie en het beheer bij te houden.
Effectiviteit, efficiëntie.
Versiebeheer Het niet inzichtelijk hebben van de verschillende versies van virtuele machines kan leiden tot wildgroei van virtuele machines. Het gevolg hiervan is dat verkeerde versies gebruikt worden waardoor de BIV aspecten aangetast worden.
Speciale aandacht dient te worden besteed aan versiebeheer van de configuratiebestanden van de virtuele machines. Er dienen beschreven procedures te zijn om te waarborgen dat de juiste versies gebruikt worden en dat oude versies buiten gebruik gesteld worden.
Integriteit, beschikbaarheid, vertrouwelijkheid.
Capaciteitsbeheer Als er niet voldoende aandacht wordt besteed aan beschikbare en benutte capaciteit bestaat het risico dat kritieke servers tekortkomen aan capaciteit, hetgeen de beschikbaarheid aantast.
De processorcapaciteit van fysieke – en virtuele servers dient voortdurend gemonitord te worden. Voor kritische servers is automatische dynamisch toewijzing van meer capaciteit zelfs aan te raden.
Beschikbaarheid.
Autorisatiebeheer Beheerders die toegang hebben tot server of data van anderen kunnen de BIV aspecten aantasten.
Er dient gebruik te worden gemaakt van autorisaties om toegang tot de verschillende virtuele machines te beheersen. Hierbij hoort ook de scheiding van de diverse omgevingen.
Integriteit, beschikbaarheid, vertrouwelijkheid.
Licentiebeheer Het gebruik van software zonder zich aan de licentievoorwaarden te houden kan leiden tot boetes.
Er dient aandacht te worden besteed aan licenties van besturingsystemen en applicaties. Hierbij speelt het principe van één licentie per fysieke CPU een belangrijke rol.
Efficiëntie.
56
Fase virtualisatiecyclus Risico Richtlijnen Kwaliteitsaspecten Back-up & restore Door het ontbreken van
actuele back-up data en virtuele machines is het restoren of recovery onmogelijk waardoor de continuïteit van bedrijfsvoering wordt verstoord.
Net als andere digitale gegevens dienen ook van virtuele machines regelmatig back-ups gemaakt te worden.
Beschikbaarheid.
Patch- en releasebeheer Het niet up-to-date houden van de virtualisatiesoftware kan lekken in deze softwarelaag in stand houden welke door onbevoegden misbruikt kunnen worden.
Besteed aandacht aan patch- en releasebeheer. Volg de richtlijnen van de leverancier om eventuele kwetsbaarheden tijdig te elimineren.
Integriteit, beschikbaarheid, vertrouwelijkheid.
Informatiebeveiliging Virtuele machines zijn in feite “platte” bestanden en worden ook als bestanden opgeslagen. Het kopieren van een complete server kan met weinig inspanning wordne gedaan. Ongeautoriseerd toegang tot deze bestanden kan dus van invloed zijn op de verschillende kwaliteitsaspecten.
Bestanden die betrekking hebben op virtuele machines – in feite de virtuele machines zelf - dienen veilig opgeslagen te worden. Alleen geautoriseerde medewerkers mogen toegang krijgen tot deze bestanden. Autorisatiebeheer en wijzigingsbeheer dienen het proces van informatiebeveiliging te ondersteunen.
Integriteit, vertrouwelijkheid, beschikbaarheid.
Evaluatie & monitoring Kosten/batenanalyse Het niet monitoren van
financiële baten maakt sturing en meting van de effectiviteit van virtualisatie onmogelijk. Het gevolg is dat er op basis hiervan foute beslissingen verder worden genomen omtrent (vervolg) IT-investeringen.
Regelmatig dient een analyse te worden gemaakt van de beoogde besparingen en de werkelijke besparingen.
Efficiëntie.
Prestatieanalyse Het ontbreken van inzicht in de niet-financiële baten kan leiden tot een onjuiste beoordeling van de investering in virtualisatie, hetgeen tot verkeerde beslissingen kan leiden.
Duidelijke performance indicatoren dienen gedefinieerd te zijn om na te gaan of de beoogde doelstellingen zijn behaald.
Effectiviteit.
SLA Het bieden van diensten tegen te lage of te hoge kosten kan nadelig zijn voor de organisatie. De IT-organisatie lijdt verlies of de afnemers stappen over naar een goedkopere aanbieder. Ook het niet kunnen nakomen van afspraken in SLA kan tot boetes leiden.
Periodiek dienen de SLA’s geanalyseerd en indien noodzakelijk geactualiseerd te worden.
Effectiviteit, efficiëntie.
Audits Het niet toetsen van de IT-organisatie kan tot gevolg hebben dat onvolkomenheden ongemerkt blijven en dat de kwaliteitsaspecten aangetast worden.
Voer regelmatig audits uit om na te gaan of het IT- management effectief is geweest en of virtualisatie het beoogde resultaat heeft opgeleverd.
Allemaal.
Tabel 10. Uitwerking virtualisatiemanagementcyclus.
57
6.5 Afsluiting
In dit hoofdstuk is een model geïntroduceerd aan de hand van de informatie uit de voorgaande
hoofdstukken. Deze virtualisatiemanagementcyclus is vervolgens verder in detail uitgewerkt. Het model
kan als hulpmiddel gebruikt worden bij een onderzoek naar virtualisatie. In het volgende hoofdstuk zal
deze scriptie worden afgesloten met beantwoording van de deelvragen en de probleemstelling uit
hoofdstuk 1.
58
7 Conclusie en reflectie Conclusies deelvragen Server virtualisatie is een veelbelovend concept waarvan de toepassing alleen maar zal toenemen in de
komende tijd. Deze techniek maakt het mogelijk om meerdere softwarematige “virtuele” servers op één
fysieke server te draaien en op deze manier de resources optimaal te benutten.
De voornaamste reden om virtualisatie te implementeren is om een lage total cost of ownership te
behalen. Virtualisatie is niet gebonden aan specifieke toepassingen. De techniek heeft betrekking op de
technische infrastructuur met als gevolg dat procedures en processen rondom de technische
infrastructuur positief beïnvloed worden. Dit betekent dat er in de IT-organisatie efficiënter en effectiever
gewerkt kan worden dankzij virtualisatie.
Om het virtualisatietraject beheerst te laten verlopen kan gebruik worden gemaakt van de IT-governance
principes. Een belangrijk onderdeel van IT-governance, dat meer gericht is op tactisch en operationeel
gebied, is IT-management. Een geschikte manier om IT-management te beheersen is door de toepassing
van een managementcyclus. Een bestaand raamwerk dat in principe bruikbaar zou moeten zijn voor het
virtualisatietraject is Cobit 4.0.
Binnen de overheid wordt onder andere bij een ZBO virtualisatie toegepast. Deze organisatie onderkent
dat virtualisatie efficiëntievoordelen oplevert. Desondanks dient het hele traject zorgvuldig te geschieden
en niet worden onderschat. Een eventuele stap terug van een “virtualisatie omgeving” naar een
traditionele situatie met alleen fysieke servers bijvoorbeeld, zal veel kosten met zich brengen.
Een toetsing van de praktijkcasus van het ZBO aan een subset van Cobit processen, levert als resultaat
op dat de beschreven casus niet aan Cobit voldoet.
Beantwoording probleemstelling
Omdat Cobit te generiek is, heb ik een virtualisatiemanagementcyclus ontwikkeld. De verschillende fasen
in de cyclus geven antwoord op de probleemstelling die luidt:
Welke aandachtspunten zijn bij de toepassing van virtualisatie vanuit IT-auditperspectief relevant
voor het IT-management?
59
Hoe aantrekkelijk de verhalen over virtualisatie ook klinken, de “trigger” moet direct of indirect vanuit de
business komen. Om preciezer te zijn past virtualisatie goed bij organisaties die efficiënter willen werken.
Het eerste aandachtspunt is dus de reden, vanuit de business gezien, om virtualisatie te overwegen.
Er zijn verschillende virtualisatieproducten op de markt. Deze producten verschillen van elkaar zowel in
prestatie als in kosten. Een gedegen vooronderzoek naar de huidige systemen en mogelijkheden van de
virtualisatieproducten is onontbeerlijk.
Veranderingen brengen nieuwe risico’s met zich mee. Naast een gedetailleerde kosten/batenanalyse van
de investering in virtualisatie, dienen ook een risico- en impactanalyse plaats te vinden. Het definitieve
besluit tot de implementatie van virtualisatie dient zorgvuldig te gebeuren rekeninghoudend met overige
projectvoorstellen, relevantie voor de organisatie, alternatieve oplossingen en het beschikbare budget.
Niet minder belangrijk is de aanschaf van hard- en software. Hierbij dient niet alleen aandacht te worden
besteed aan de kwaliteit en functionele mogelijkheden van de hard- en software, maar ook aan de kosten.
Eenmalige kosten en onderhoudskosten kunnen worden onderscheiden.
De beoogde winst in efficiëntie en effectiviteit door middel van virtualisatie wordt op tactisch en
operationeel gebied gerealiseerd. De toepassing van virtualisatie helpt de tactische en operationele ITIL
processen te optimaliseren. Naast de tactische en operationele ITIL processen, verdient ook beveiliging
van de virtuele machines de nodige aandacht. Door de portabiliteit van complete virtuele servers
verdienen vooral informatiebeveiliging, autorisatiebeheer en wijzigingsbeheer de meeste aandacht, om te
waarborgen dat de kwaliteitsaspecten beschikbaarheid, integriteit en vertrouwelijkheid niet aangetast
worden. Meestal wordt gebruik gemaakt van een SAN waarop de virtuele machines opgeslagen worden.
Er dient aandacht te worden besteed aan de beveiliging van het SAN. Omdat beheerders van virtuele
machines toegang hebben tot alle virtuele machines is het noodzakelijk functiescheiding te brengen
tussen beheer virtualisatielaag, beheer besturingssysteem en applicatiebeheer. De virtualisatielaag is een
software wat betekent dat het hackergevoelig is. Speciale aandacht dient te worden besteed aan
mogelijke kwetsbaarheden van virtualisatieprogrammatuur en de kant-en-klare appliances die
gedownload en geïnstalleerd kunnen worden op virtuele machines. Deze appliances kunnen
kwaadaardige code bevatten.
Om de cyclus rond te maken dienen regelmatig evaluaties en audits plaats te vinden, zodat er bijsturing
plaats kan vinden om de beoogde doelen te realiseren.
De toepassing van virtualisatie is in principe ter verbetering van de kwaliteitsaspecten efficiëntie en
60
effectiviteit. Doordat de virtualisatietechniek de technische infrastructuur raakt, zijn de overige
kwalititeitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit net zo belangrijk.
Reflectie auteur
De IT-auditor kan in principe breed ingezet worden in een virtualisatietraject. Hij kan adviseren in de
initiële fase die bepalend is voor de investering. Onderwerpen die in deze fase van belang zijn betreffen
de aanleiding tot virtualisatie, beoogde waardecreatie voor de organisatie, impact van virtualisatie op de
huidige omgeving en pakketselectie. Ook bij het implementatietraject kan de IT-auditor toegevoegde
waarde hebben. In deze fase is het echter van belang dat hij hands-on ervaring heeft met het inrichten
van dergelijke omgevingen. Hier is naast de rol van adviseur ook de rol van consultant een mogelijkheid.
In de attestfunctie kan de IT-auditor in alle fasen van de hele virtualisatiemanagementcyclus actief zijn. De
praktijk leert echter dat de IT-auditor meestal pas in de laatste fase wordt betrokken, namelijk in de fase
van evaluatie en monitoring. Een audit van bijvoorbeeld de totstandkoming van het besluit zou niet
misstaan in de rol van de IT-auditor. Doordat er sprake is van een hogere efficiëntie bestaat het gevaar
dat alleen naar dat kwaliteitsaspect wordt gekeken bij de besluitvorming. De IT-auditor zou dan
beoordelen of voldoende aandacht is besteed aan nieuwe risico’s op het gebied van de “traditionele”
kwaliteitsaspecten beschikbaarheid, vertrouwelijkheid en integriteit.
De doorsnee IT-auditor komt in de praktijk de kwaliteitsaspecten efficiëntie en effectiviteit weinig tegen.
Om iets te zeggen over kostenefficiëntie dient de IT-auditor over voldoende bedrijfseconomische kennis te
beschikken. Verder kan de IT-auditor voorafgaand aan het audittraject een rol spelen door te helpen de
performance indicatoren te definiëren om de effectiviteit en de efficiëntie van de virtualisatie investering te
toetsen. Wel dient hij hierbij te waken voor een vermenging van de advies- en de auditrol en dient hij
verwachtingen dienaangaande op de juiste wijze te communiceren.
De totstandkoming van deze scriptie is voor mij leerzaam geweest. Hoewel ik een technische achtergrond
heb, diende ik –mede om de leesbaarheid voor mensen met een andere achtergrond- het gebruik van al
te technische termen zoveel mogelijk te vermijden. Om deze stap te maken heb ik gebruik gemaakt van
Cobit en ITIL. Verder heb ik me verdiept in de onderwerpen IT-governance en IT-management. Wel lastig
was het feit dat er tot heden weinig is gepubliceerd over virtualisatie en IT-auditing. Het onderwerp was
interessant maar misschien te nieuw en omvangrijk voor zo’n korte periode. Uiteindelijk ben ik zeer
tevreden over dit eindproduct en hoop hiermee een bijdrage te hebben geleverd aan het vakgebied.
61
Geraadpleegde bronnen [1] De grote migratie naar virtualisatie, Computable, 20 Oktober 2006.
[2] www.gartner.com
[3] Vermeulen, P., Computable 100 Special, 2007.
[4] Roos Lindgreen, E., Fijneman, R., Veltman, P., Grondslagen IT-auditing, Academic Service, 2005.
[5] Otey, M., Virtualization Technologies, Windows IT Pro, Oktober 2006.
[6] Murris, I., CDG Europe, Heliview seminar, 22 maart 2006.
[7] Wolf, C., Halter, E.M., Virtualization: from the desktop to the enterprise, Apress, 2005.
[8] www.dell.com
[9] www.microsoft.com
[10] www.computable.nl
[11] www.hp.com
[12] www.novell.com
[13] Gordts, F., Dossier Virtualisatie, PC Magazine, December 2006.
[14] Marshall, D., Reynolds, W.A., McCrory, D., Advanced Server Virtualization, Auerbach Publications,
2006.
[15] Van Veen, E., Symantec, Heliview seminar, 22 maart 2006.
[16] Offerman, A., Virtualisatie, Computable, 13 oktober 2006.
[17] Oglesby, R., Herold, S., VMware ESX Server, Brian Madden, 2005.
[18] www.vmware.com
[19] Laudon, K.C., Laudon, J.P., Bedrijfsinformatiesystemen, Prentice Hall, 2006.
[20] Whitepaper VMware, Reducing Server Total Cost of Ownership with VMware Virtualization Software.
[21] Whitepaper VMware, Making Your Business Disaster Ready with Virtual Infrastructure.
[22] Whitepaper VMware, Accelerate Application Development, Testing and Deployment with VMware
Software.
[23] Auteur, Bull, Heliview seminar, 22 maart 2006.
[24] Norea, IT-governance: een verkenning, 2004.
[25] Scheffel, ir. P.F.L., Het doel, de weg en de rugzak: een gids voor praktisch ICT service management,
Van Haren Publishing, 2004.
[26] Van Grimbergen, prof.dr. W., De Haes, S., IT Governance mechanismen, Kluwer, 2004.
[27] Oudega, R., Vankan, G.J.W.C., Manage (and Audit) your IT as a Business ?, Compact & ICT-
auditing, 25 jaar jubileumuitgave.
[28] Algemene Rekenkamer, Grip op informatievoorziening, governance bij ministeries, Tweede Kamer,
2005-2006.
62
[29] Rechter, B., Virtualisatie en de IT-auditor, de EDP-Auditor, nummer 3, 2005.
[30] Van Biene-Hershey, M.E., IT Auditing: An Object Oriented Approach, Delwel, 1996.
[31] Norea, IT-auditing aangeduid, NOREA geschrift nummer 1, juni 1998.
[32] Van Praat, J., Suerink, H., Inleiding EDP-auditing, tenHagenStam, 2004.
[33] IT Governance Institute, Cobit 4.0, 2005.
[34] Gartner Report, G00144S43, December 2006.
[35] ITSMF, Foundations of IT Service Management op basis van ITIL, 2006.
[36] Rutkowska, Joanna, Virtualization: the other side of the coin, presentatie NLUUG Virtualisatie
voorjaarsconferentie, 10 mei 2007.
63
Bijlage A1 De vijf componenten van IT-governance
64
Bijlage A2 Beschrijvingskader IT-governance bij ministeries
65
66
67
Bijlage B1 Business goals gekoppeld aan IT goals en kwaliteitsaspecten
Business goals
IT Goals (zie
B2)
effe
ctiv
enes
s
effic
ienc
y
conf
iden
tialit
y
inte
grity
avai
libilit
y
com
plia
nce
relia
bilit
y
Financial
perspective
Return on
investment 24 x
Optimise asset
utilisation 14 x x
Manage business
risks 2 14 17 18 19 20 21 22 x x x
Customer
perspective
Offer competitive
products and
services 5 24 x x
Cost optimisation of
service delivery 7 8 10 24 x
Internal
perspective
Lower process
costs 7 8 13 15 24 x
Improve and
maintain
operational and
staff productivity 7 8 11 13 x x
Learning and
growth
perspective
Product/business
innovation
5 25 28 x x
Acquire and
maintain skilled and
motivated
personnel 9 x x
68
Bijlage B2 IT Goals gekoppeld aan de Cobit processen
IT Goals Cobit processes
2
Respond to governance requirements in line with board
direction PO1 PO4 PO10 ME1 ME3
5 Create IT agility PO2 PO4 PO7 AI3
7
Acquire and maintain integrated and standardised application
systems PO3 AI2 AI5
8
Acquire and maintain integrated and standardised IT
infrastructure AI3 AI5
9 Acquire and maintain IT skills that respond to the IT strategy PO7 AI5
10 Ensure mutual satisfaction of third party relationships DS2
11
Seamlessly integrate applications and technology solutions
into business processes PO2 AI4 AI7
13
Ensure proper use and performance of the applications and
technology solutions PO6 AI4 AI7 DS7 DS8
14 Account for and protect all IT assets PO9 DS5 DS9 DS12 ME2
15 Optimise the IT infrastructure, resources and capabilities PO3 AI3 DS3 DS7 DS9
17 Protect the achievement of IT objectives PO9 DS10 ME2
18
Establish clarity of business impact of risks to IT objectives
and resources PO9
19
Ensure critical and confidential information is withheld from
those who should not have access to it PO6 DS5 DS11 DS12
20
Ensure automated business transactions and information
exchanges can be trusted PO6 AI7 DS5
21
Ensure IT services and infrastructure can properly resist and
recover from failures due to error, deliberate attack or disaster PO6 AI7 DS4 DS5 DS12 DS13 ME2
22
Ensure minimum business impact in the event of an IT
service disruption or change PO6 AI6 DS4 DS12
24
Improve IT's cost-efficiency and its contribution to business
profitability PO5 AI5 DS6
25
Deliver projects on time and on budget meeting quality
standards PO8 PO10
28
Ensure that IT demonstrates cost-efficient service quality,
continuous improvement and readiness for future change PO5 DS6 ME1 ME3
69
Bijlage B3 De Cobit processen uit bijlage B2 uitgeschreven PO1 Define a strategic IT plan
PO2 Define the information architecture
PO3 Determine technological direction
PO4 Define the IT processes, organisation and relationships
PO5 Manage the IT investment
PO6 Communicate management aims and direction
PO7 Manage IT human resources
PO8 Manage quality
PO9 Assess and manage IT risks
PO10 Manage projects
AI2 Acquire and maintain application software
AI3 Acquire and maintain technology infrastructure
AI4 Enable operation and use
AI5 Procure IT resources
AI6 Manage changes
AI7 Install and accredit solutions and changes
DS3 Manage performance and capacity
DS4 Ensure continous service
DS5 Ensure systems security
DS6 Identify and allocate costs
DS7 Educate and train users
DS8 Manage service desk and incidents
DS9 Manage the configuration
DS10 Manage problems
DS11 Manage data
DS12 Manage the physical environment
DS13 Manage operations
ME1 Monitor and evaluate IT performance
ME2 Monitor and evaluate internal control
ME3 Provide IT governance